Wichtig: Neuer Virus: Sasser-A (ähnlich wie Blaster)

    Tach mitnander.
    Als ich heute von der Arbeit nach Hause kam, wurde ich gleich von jemandem im MSN um Hilfe gebeten. Der PC verhalte sich so komisch und wolle immer herunterfahren. So ähnlich wie bei Blaster.
    Gleich darauf krieg ich ein Telefon mit einer ähnlichen Beschreibung.
    Also hab ich mich mal n bissel im Internet umgeschaut und folgendes gefunden:


    Sasser-A ist also ein neuer Virus, der sich ähnlich wie der Blaser verbreitet.


    Damit er wenigstens in der Tweaker-Gemeinde nicht so viel Erfolg hat, wie Blaster, würde ich euch anraten das Microsoft Security Bulletin MS04-011 zu überfliegen und die entsprechenden Patches herunterzuladen.


    Vielleicht hilft es auch dem ein oder anderen die Probleme seiner Kumpelz zu lösen ;)

    danke


    habe auch schon 3 anrufe bekommen

    Alle Rechtschreibefehler sind beabsichtigt und künstlerisches Eigentum.
    Das benützen und publizieren ist nur mit meiner ausdrücklichen Genehmigung erlaubt.

    genau den Virus hab ich vor 1h einem Kollegen entfernt. Vom Typ her ist er wirklich wie ein Blaster mit dem üblichen..

    mit
    ->Ausführen
    ->cmd
    -> shutdown -a
    kann man den shutdown stoppen und in der Regedit wie QZE schon beschrieben hat den Virus entfernen..

    "Hacking is like having sex. You get in, you get out, then you hope that you didn't leave something behind that can be traced back to you."

    2 Mal editiert, zuletzt von doctor ()

    Thx wir haben ihn heute gleich im Geschäft eingespielt.

    -=- Intel Core 2 Duo E6400 Socket 757 -=- Asus P5B-E Plus, Intel P965 -=- HIS Excalibur X1950Pro IceQ3 Turbo -=- OCZ Platinum-Series DDR2 800 CL4 -=-
    -=- 250 GB Seagate Barracuda SATA II 16 MB-=- 160 GB Samsung Spinpoint -=- 200 GB SpinPoint P120 SATA II -=- 120 GB Seagate Barracuda SATA -=-


    -=- AMD Opteron 144 1800 Mhz -=- ABIT AN8, nVidia nForce4 "Fatal1ty" -=- 2x Asus Extreme N6600GT -=- 2x256MB Corsair XMS 3500 V1.1 (BH5) -=- 2x256MB KHX 3200 AK2 -=-
    -=- 2x250 GB Western Digital SATA II 16 MB -=-

    ..hab noch ne interessante Info Seite über den Sasser gefunden.. --> LINK

    "Hacking is like having sex. You get in, you get out, then you hope that you didn't leave something behind that can be traced back to you."


    Hey! Geiler Tipp!

    "Höchstgeschwindigkeit und Beschleunigung von 0 auf 100 km/h sind interessante statistische Werte - Werte, die Sie allerdings kaum je verwenden werden. Unser Ansatz im Hinblick auf die Leistung basiert auf der täglichen Fahrpraxis. Eine schnelle Beschleunigung beim Überholen mit wenig Gangwechseln ist ein wichtiges Sicherheitsmerkmal. Sofort verfügbare Kraft bedeutet eine grössere Kontrolle. Und mehr Spass. Sie können sich auf die kultivierte Kraft von SAAB verlassen."

    Zitat

    Original von doctor
    ..hab noch ne interessante Info Seite über den Sasser gefunden.. --> LINK


    Jo, find ich auch noch interessant.
    Vorallem Punkt 5:
    # Zusätzlich finden sich im Windows-Ordner Dateien nach dem Muster xxxxx_up.exe, wobei xxxxx für eine zufällig generierte fünfstellige Zahl steht.


    Nachdem die Beratung über Telefon beim einen Kollegen nicht geholfen hat, musste ich zu ihm nach Hause und konnte mir die Situation mal ganz genau anschauen. (Es gibt halt Leute, die können nicht mal in den Richtigen Registry Schlüssel wechseln)


    Ich hab zur Überwachung der Verbindungen ZoneAlarm installiert. Wenn man aserve und aserve2.exe aus dem Run-Schlüssel nimmt, scheint der Wurm keine Verbindung zur Aussenwelt mehr aufzunehmen. Man hat dann aber noch ziemlich viele Dateien im C:\windows Verzeichnis.
    Ich hab da mal Antivir (mit dem neusten Update) drüber laufen lassen und das hat all' die gefährlichen Dateien gefunden.



    Die Entfernungsstrategie im Link von doctor scheint mir etwas sehr umständlich. (vorallem das mit dem Abgesicherten Modus). Kann aber sein, dass meine Methode tatsächlich zu wenig ist.

    hihi, heute morgen in einer Informatik Vorlesung hat sich der Laptop der Assistenten an dem der Beamer hing alle paar Minuten selber runtergefahren, wegen diesem Virus. Der Prof. war ziemlich verwirrt...

    A fine is a tax for doing wrong.
    A tax is a fine for doing well.

    Ich darf jetzt in der Firma herum patchen...

    Ein MANN wird NIE ERWACHSEN - sein SPIELZEUG wird EINFACH GR�SSER!
    Der LADEDRUCK sei mit Euch!

    Zitat

    Original von OutOfRange
    blöde Frage wie alt ist der Patch eigentlich ?


    Ist vom 28 April wobei ich es sehr komisch finde das der Virus in der Nacht vom Freitag auf den Samstag verbreitet wurde :rolleyes *hm* der Virus mus also von Microsoft sein ;)

    "Hacking is like having sex. You get in, you get out, then you hope that you didn't leave something behind that can be traced back to you."

    Einmal editiert, zuletzt von doctor ()

    Soviel ich weiss ist die Sicherheitslücke schon fast 3 Wochen alt!

    Ein MANN wird NIE ERWACHSEN - sein SPIELZEUG wird EINFACH GR�SSER!
    Der LADEDRUCK sei mit Euch!

    Das Update selber ist vom 14.4.04, oder so. Am 28.4 wurde nur die Info geupdatet, weil sich wohl was zusammengebraut hatte und MS nicht wieder als Sünderbock dastehen wollte :D


    kNt: Ich glaube nicht, das war ein offizielles RPC-Update.

    "It really is as useful as a snooze button on a smoke alarm" Jeremy Clarkson


    "Wennsd den Baum siehst, in den du rein fährst, hast untersteuern. Wennsd ihn nur hörst, hast übersteuern" Walter Röhrl

    Zitat

    Original von OutOfRange
    witzig wenn man das sp2 beta druf hat kann mans ned installen :D


    bei mir ging's trotz SP2 :rolleyes

    "Höchstgeschwindigkeit und Beschleunigung von 0 auf 100 km/h sind interessante statistische Werte - Werte, die Sie allerdings kaum je verwenden werden. Unser Ansatz im Hinblick auf die Leistung basiert auf der täglichen Fahrpraxis. Eine schnelle Beschleunigung beim Überholen mit wenig Gangwechseln ist ein wichtiges Sicherheitsmerkmal. Sofort verfügbare Kraft bedeutet eine grössere Kontrolle. Und mehr Spass. Sie können sich auf die kultivierte Kraft von SAAB verlassen."

    wie auch immmer das beste schutzt ist immer noch seine eigene verhalten was e.mail attachements usw angeht, es gibt leider noch zu viel die auf anmachende kleine text das attachment aufmachen und hop ist es schon passiert. Nur ein bisschen mehr diziplin und es könnte viel besser sein.


    PS: bite nicht antworten das dieses wurm sich durch offene port verbreitet und nicht durch mail, ich weis das ;)

    Zitat

    Original von OutOfRange
    witzig wenn man das sp2 beta druf hat kann mans ned installen :D


    hast du die richtige sprache vom patch?