Hamburg (dpa) - Erneut hält ein Computerwurm die weltweite Gemeinde der Internet-Nutzer auf Trab. Mittlerweile habe sich die Verbreitung des Wurms "Sasser" schon etwas stabilisiert, sagte der Karlsruher Virenspezialist Christoph Fischer der dpa. Der Schädling soll nach Einschätzung von Experten über das erste Mai-Wochenende Hunderttausende Computer befallen haben. Anders als Schädlinge wie etwa "Blaster" benutzt "Sasser" eine Schwachstelle, die für den Zugang zum Internet offen steht.

Quelle Dithmarscher Landeszeitung



Er ist, zumindest noch, nicht so sehr verbreitet wie der W32.Blaster.Worm vor eine halben Jahr, dennoch handelt es sich um Hunderte oder Tausende Infections.
Dieser greift den Win RPC an, blockiert Browser Connections, macht das Herunterfahren des PCs unmöglich, Lädt versteckt irgendwelche Sachen über ftp.exe hoch/runter, braucht bis zu 100% der CPU, und lässt sich nicht beenden.

NORTON USER:
Ihr habts leicht, ihr braucht nur das AntiVir upzudaten, und dann solltet ihr sicher sein.

"Ihr pc wird in XX sekunden heruntergefahren"
Dies könnt ihr verhindern indem ihr Start->Ausführen geht, und dann "shutdown -a" eingebt, dann wird der Vorgang abgebrochen, und ihr habt Zeit um den Virus wegzukriegen.



Wie Ihr ihn wegbekommt:
1. Beendet den Wurm, indem ihr über CTRL+ALT+DEL in den Taskmanager geht, in die Registerkarte "Prozesse" geht, und folgende Prozesse killt:

avserve.exe

43563_up.exe (kann auch jede beliebige andere zahl sein, endet aber immer mit _up.exe)

cmd.exe

ftp.exe

Sollte euer TaskManager Blockiert sein, könnt ihr HIER einen alternativen, externen Downloaden.

2. Löscht die Wurm Executables:
C:/Windows/System32/24323_up.exe (auch hier, kann es jede beliebige zahl sein)

C:/Windows/avserve.exe

3. Löscht den Registry Key:
Start -> Ausführen -> Regedit.
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run/ AVSERVE

4. Patcht:
http://windowsupdate.microsoft.com Alle Wichtigen Patches Saugen und Installieren. Wenn Ihr ein Anti-Virus Programm habt, updatet dies auch, Symantec(Norton) hat bereits einen Patch herausgegeben.

Nach dem Patchen am besten nochmal die Prozesse anschauen, die Dateien löschen falls existierend, und den RegKey löschen.
Jetzt sollte der Wurm bekämpf sein.

Den Patch gibt es hier http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/bulletinMS04-011.htm

Quelle exclaim.de

Quelle Dithmarscher Landeszeitung

http://www.click-smilies.de/my_smileys/smileys1/00009171.gif

Die gibts wirklich ? ?

Hört sich wie die Metzgerzeitung an http://www.click-smilies.de/my_smileys/smileys1/emotlol_2.gif http://www.click-smilies.de/my_smileys/smileys1/emotlol_2.gif

Sorry, das konnte ich mir jetzt nicht verkneifen; ich roll am Boden vor lachen....http://www.click-smilies.de/my_smileys/smileys1/biggrin_3.gif





Aber jetzt mal wieder ernsthaft btw.

Es sollte noch erwähnt werden, daß dieser Wurm/Virus wie sein Vorgänger speziell für Netzwerk-Plattformen geschrieben wurde, als enstprechend nur WinXP, Win2000 Server und NT Server befällt.
Wer also mit Win95, Win98 oder ME im Netz unterwegs ist, dürfte zumindest vor diesem Teil sicher sein.

Aber natürlich gilt, wie immer: nie ohne Firewall und Virenscanner ins Netz.

ich kann ja auch nix dafür, dass ich in DITHMARSCHEN wohen! wenigstens haben wir die kohltage :rolleyes:

Mei, jetzt markier halt nicht den Eingeschnappten....

Hätte vielleicht dazu bemerken sollen, daß hier bei uns die "Dithmarscher Wuuurst" (gesprochen mit Werner-Stimme) ein geflügeltes Wort ist.

NORTON USER:
Ihr habts leicht, ihr braucht nur das AntiVir upzudaten, und dann solltet ihr sicher sein.


-.- :devil:

Noch ein bißchen Info dazu:

Von "W32.Sasser" sind nach Beobachtungen des Viren-Experten Thomas Mandl derzeit "ziemlich viele Pakete unterwegs". Einer exakten Zählung der Infektionsraten entzieht sich der Wurm, der in drei Varianten - A, B und C - auftaucht, allerdings dadurch, dass er sich nicht via e-mail verbereitet, sondern ungeschützte Computer direkt attackiert. Das bedeutet auch, dass es nicht nötig ist, irgendwo doppelzuklicken, um ihn sich einzufangen.

Sasser dringt wie der mittlerweile berühmte "Blaster.Worm" direkt in den Computer ein, und zwar via TCP, dem "Transmission Control Protocol", das für die Interneteinbindung sorgt. Extrem gefährlich ist Sasser im Prinzip nicht - eine Infektion führt "nur" tendenziell zum Absturz des Computers durch Überlastung (volle CPU-Belastung, ersichtlich im Taskmanager unter "Systemleistung"). Schließlich geht das infizierte System durch eine Sicherheitslücke alle paar Minuten in einen Reboot-Vorgang

Laut Mandl wird die Verbreitung von Sasser solange nicht zurückgehen bzw. sogar steigen, bis möglichst viele Internet-User den von Microsoft angebotenen "Sicherheitspatch", der die Lücke im System schließt, installiert oder eine Personal Firewall aktiviert haben.

bei euch gibt das dithmarscher wurst? aha? und, nein ich bin so schnell ned eingeschnappt, hab nur nen emoticon vergessen zu setzen, ergo, ned so wild :D

so, nun aber back to topic!

Für alle Nutzer der AntiVir Personal Edition von H+BEDV - es steht seit gestern ebenfalls ein neues Update bereit. http://www.free-av.de/

Man hat den Urheber mittlerweile übrigens festgenommen,handelt sich um einen 18-jährigen Schüler aus Niedersachsen.

hab ich heute auch schon in den nachrichten gehört... ich sags euch, irgendwann wirds meh straftäter im internet bereich geben, als auf der straße!

Habe neulich noch folgendes gelesen:

Viren dürfen programmiert werden, ohne das man sich strafbar macht. Lediglich die Verbreitung ist strafbar. Das dumme ist also, das er selbst Verbreiter des schädlichen Viruswurms war.

Und diese Rechtslage ist sogar sinnvoll. Denn sie ist analog zu Waffenherstellern zu sehen: Die Herstellung von Waffen ist nicht strafbar, wohl aber die Straftat, die damit begangen wird.

By the way: Kennt jemand ne gute Seite, so a la Virus Construction Set im Heimbau ?

Grüsse,
Trady

By the way: Kennt jemand ne gute Seite, so a la Virus Construction Set im Heimbau ?

Grüsse,
Trady
Ja. Und nicht nur eine.... :D :D

Dann laß doch mal rüberwachsen, Shadow. Ist ja schließlich nicht verboten :o)

Doch, ist es schon; zumindest die Seiten mit "fertigen" Codes.

Ich kann dir als Tip nur die Securitysite von astalavista.com bzw. astalavista.net nennen.

Wenn du selbst programmieren willst, gehts nicht ohne entsprechende Vorkenntnisse z.B. in C++

Für tiefere Einblicke in diverse sites musst du schon in den "Untergrund" gehen. Diese sites transportieren aber fast ohne Ausnahme zweifelhafte und teils gefährliche Inhalte, deshalb erfolgt die Benutzung auf eigene Gefahr !

Aus arbeitstechnischen Gründen muß ich den "Feind" kennen, deshalb kann ich dir nur noch einen Hinweis geben, allerdings nur in Rätselform:

"Um deinen Feind zu besiegen mußt du seine Verstecke kennen.
Besorge dir dafür einen Führer.
Laß dich führen von einem alten, sehr alten Meister.
Dein Meister muß weise sein. Er muß nicht groß sein. Und er ist kein Krieger.
Groß machen Kriege niemanden."


Mehr gibts von mir nicht...

Neues zum Thema "Sasser":

Computer, die vom "Sasser"-Wurm befallen sind, können durch einen Fehler in der Programmierung des Schädlings gehackt werden: Auf Rechnern, die mit dem Betriebssystem Windows 2000 mit Servicepack 4 laufen und auf solchen, auf denen Windows XP mit Servicepack 1 installiert ist, lasse sich über einen "Buffer Overflow" die komplette Kontrolle über den Rechner erlangen.

Auch der IT-Experte Markus Klemen von der Technischen Universität Wien sieht diese Gefahr: "Er ist offenbar nicht sehr sauber programmiert." Mit Hilfe eines "Buffer Overflows" sei es möglich, in bestimmte Adressbereiche des Speichers größere Werte als vorgesehen einzutragen. Wenn, wie beim "Sasser"-Wurm bei der Programmierung die Länge der möglichen Eingabe nicht eingeschränkt werde, könne man beliebige Befehle ausführen. Über eine Eingabeaufforderung sei man im gegenständlichen Fall dann "eigentlich im System drinnen".

Solche Fehler seien bei vielen Würmern bekannt, erklärte Klemen. Da "Sasser" sehr erfolgreich gewesen sei, sei eine Ausnutzung dieser Lücke für weitere Hacker sehr attraktiv, so seine Einschätzung. Ein weiteres Problem des Internetschädlings sei auch dessen Gewohnheit, "blinde Passagiere", wie den so genannten Phatbot mitzunehmen. Wenn man den "Sasser" vom System lösche, könne es sein, dass man einen Trojaner "geerbt hat", sagte der IT-Experte.