Ich war betroffen: W32.Sasser.B.Worm!!!

[Mackson]

Hi Gemeinde!

ihr habt sicherlich alle schon vom "Sasser-Worm" gehört.(?) Kam die Tage oft genug im Fernsehen. Das "Viech" ist seit dem 30.04.04 richtig aktiv geworden. Es gibt 3 Varianten: W32.Sasser.Worm, W32.Sasser.B.Worm und W32.Sasser.C.Worm
Ich hatte aus zeitgründen kein Windows-update bei einem meiner zwei Bürorechner gemacht und am Sonntag Nachmittag wurde einer infiziert. Diesmal stimmt es sogar was RTL & Co sagen: man brauch nur im Internet zu sein - mehr nicht. Der Wurm such sich automatisch IP-Adressen nach dem Zufallsprinzip heraus und infiziert dann Windows-PC's. Wenn man dem Wurm zu Leibe rücken will, beginnt er dann mit dem runterfahren des Rechners usw....
Hier könnt ihr nachlesen und den Sicherheitspatch herunterladen. Dies ist unbedingt zu empfehlen. Symantecs Virensoftware ist z.Z. machtlos gegen diesen Wurm, wenn er schon auf dem Rechner ist! Der Wurm wird nur angezeigt und NortonAntivirus2004 (mit update 02.05.2004!! ) erzählt mir, das er nicht gelöscht werden kann und ein hohen Risiko besteht - toll. Wichtig ist weniger eine aktuelle Virensoftware, sondern der Windows-Patch! Gibt es für alles Betriebssystem bei Microsoft zum download.
Hier gibt es 1. Hilfe:
http://www.chip.de (rechts bei Top-Themen)
http://www.mcafee.de (Tool Stinger.exe zum entfernen bzw. überprüfen den Rechners)
http://www.symantec.de (Tool FxSasser.exe, hat bei mir nciht funktioniert!)
Microsoft (Patch für alle Window-XP User, deutsche Version!)

Wer schon "infiziert" ist, dem empfehle ich McAfee'S "Stinger.exe" - die hat den Wurm anscheinend den Rest gegeben. Ansonsten unbedingt bei chip.de die Infos über die Registry lesen. Bei mir hieß die Wurm-Datei nicht mehr avserve.exe sondern skynetserve.exe und war über den Taskmanager + regedit zu identifizieren und im Windowsverzeichnis vorhanden. Diese Datei hat meinen Rechner nahezu 100% ausgelastet und meine gesamt Uploadbandbreite verbraucht. Der Wurm verbraucht die Rechnerrecourcen nur, wenn eine Internetverbindung besteht. Dabei läd als erste Aktion den eigentlichen Wurm von irgendwoher runter und danach sucht er nach anderen Rechnern. Anonsonsten war er bei mir dezent im Hintergrund und hat permanent mein DSL-Modem gecheckt. Vorsicht auch bei Passwörtern. In meinem Outlook waren plötzlich einige Passwörte gelöscht und ich sollte sie neu eingeben - was ich natürlich nicht gemacht habe...

Gruß M.

[Mayday]

Der Wurm wird nur angezeigt und NortonAntivirus2004 (mit update 02.03.2004!!) erzählt mir, das er nicht gelöscht werden kann und ein hohen Risiko besteht - toll.

Wirklich vom 2. März? Das sind 2 Monate, ne lange lange Zeit!

Mich hats nicht erwischt, war gar nicht online. Zudem sind meine Rechner gestopft. Aber ich sollte mal ein paar Rechner von Verwandten checken ...

[Mackson]

Ähm sorry, vom Virenupdate vom 02.05.2004 meinte ich!

Die B-Variante ist übrigens aucgh erst seit dem 01.05.2004 aktiv, der Original-Wurm seit 30.04.2004. Von der C-Variante ist wohl niemand betroffen. Für die Sicherheitslücke gibt schon seit dem 12.04.2004 einen Patch. Jetzt kann sich jeder selber ausrechnen, wie lange man braucht , um eine Virus zu programmieren...

Gruß M.

[Mac.t]

Hallo Leute!

Also ich arbeite ja in einer Computerfirma und wir hatten gestern 2 befallene Pcs von Kunden dann noch einer von meiner Schwester und natürlich auch meiner zu Hause.

Ich würde mal sagen den wurm entfernen mit dem Tool von Symantec
"fxsasser" nennt der sich, gute erfahrung gemacht. Antivir software herunterladen Kostenlos auf http://www.antivir.de (Personal edition) erkennt den wurm auch aber löschen? weis ich nicht genau.

Und dann den Microsoft Patch gleich hinterher.

Grüße Mac

[jensw]

Hallo zusammen,

mit installierter Firewall und Virenscanner (F-Secure) hatte ich keine Schwierigkeiten... Im Geschäft (IT-Outsourcer) ist mir auch kein Zwischenfall bekannt.

Gruß,
Jens

[Mackson]

Ich habe die in XP integrierte Firewall an. Die läßt aber ohne den Patch den Wurm durch. Von anderen Firerwalls halte ich nicht viel, weil ich mir nie sicher bin ob ich bestimme was rein/raus oder ob die Firewall ein Eigenleben entwickelt (man beobacht sein Modem) und sinnlos meinen eh schon lahmen 2000er AMD belastet...
Die coolen Firerwalls wie sie z.B. die Sparkasse verwendet sind schweineteuer. Freeware ist mir einfach zu unsicher - siehe Zone-Alarm.

Gruß M.

[jensw]

Also die von F-Secure ist echt genial. Man hat zum einen die Möglichkeit auf Anwendungsebene zu entscheiden (Anwendung X darf durch, Anwendung Y nicht) oder IP-basiert. Außerdem ist eine Intrusion Detection dabei.
Was das Eigenleben angeht verlass ich mich lieber auf die F-Secure als auf die in Windows integrierte Lösung

Gruß,
Jens

[paramaster]

Also wir hier bei Siemens arbeiten eng mit Trend Micro zusammen und haben auch deren Tools im Einsatz....

Wenn ihr den Wurm bei Euch habt dann kann ich nur den System Cleaner empfehlen...

Ist übrigens recht interessant was der noch so alles an Viren findet obwohl Ihr ja lt. anderen Virenscanner gar keine habt... Spricht in meinen Augen für Trend Micro...

P.S. Für den Inhalt dieses Tools verbürge ich mich... Auch dafür das dies kein Virus ist oder einen beinhaltet!

Steht jetzt direkt zum Download auf meiner Seite... >Click<

[Richi Rich]

Naja, was sollte ich jetz da abstimmen?

Beim ersten Check, bumms, Windows wird runtergefahren, super, seit dem 30.4. einmal im Netz gewesen.
Zweiter Check alles normal (SymantecTool).

Danach den Patch installiert, danach nochmal irgendeinen Checker von Mircosoft laufen lassen, danach nochmal den Trend Micro Virenscanner durchlaufen lassen. Nix, niente.

War beim Blaster auch so. Erste Anzeichen des Wurmes, danach nix mehr.

Gruß,
Richi

PS: Die PCs der Verwandten, jaja, das wird wieder was werden, die alle zu checken

[Mayday]

PS: Die PCs der Verwandten, jaja, das wird wieder was werden, die alle zu checken

Hehe, da weiß einer wovon ich rede

Wie macht sich der Sasser eigentlich bemerkbar? Fährt er immer den Rechner runter, oder schlummert der teilweise auch nur und macht gar nix?