82958

Hier gibt´s den Patch für das Problem

02.05.2004 | 14:16 Uhr | Panagiotis Kolokythas

Die Ruhe hält nur bis zum nächsten Neustart des Systems an. Besorgen Sie sich daher unbedingt so schnell wie möglich den Microsoft-Patch. Sie finden ihn entweder über die Windows Update Funktion (KB 835732) oder auf dieser Seite . Der Download beträgt nur wenige Megabyte.

Anschließend sollten sie Ihr System überprüfen, ob es von dem Sasser-Wurm infiziert wurde. Denn der Wurm nutzt LSASS-Lücke, um durch die Hintertür in ihr System zu gelangen. Auf dem infizierten System wird der TCP-Port 9996 geöffnet und dann der eigentliche Wurm-Code über eine FTP-Verbindung und dem Port 5554 herunter geladen.

Die Malware richtet nach dem derzeitigen Kenntnisstand nicht großen Schaden an, sondern sorgt vor allem für ihre Weiterverbreitung. Auf den infizierten Systemen wird die Datei "CMD.FTP" gelöscht und eine neue Datei mit dem Namen "WIN.LOG" erstellt. In dieser Datei führt Sasser darüber Buch, wie viele andere Systeme es bereits infizieren konnte.

Dennoch sollten Sie unbedingt überprüfen, ob der Sasser-Wurm es auf ihren Rechner geschafft hat, weil Sie ansonsten mithelfen, dass er sich verbreitet. Bringen Sie ihre Antiviren-Software auf den neuesten Stand und überprüfen Sie damit Ihren Rechner.

Während die Variante A eine Datei mit dem Namen avserve.exe anlegt, so nistet sich die B-Version als avserve2.exe ein. Wenn eine dieser beiden Dateien im Windows-Verzeichnis zu finden ist, ist das ein sicheres Zeichen einer Infektion. Weiterhin legt er einen Registry-Key unter HKML\SOFTWARE\Microsoft\Windows\CurrentVersion\Run an, um bei jedem Rechnerstart automatisch aktiv zu werden.

Eine kostenlose Möglichkeit, um den Wurm wieder loszuwerden, bietet das Freeware-Tool Stinger von McAfee, dass in der neu erschienen Version den Wurm erkennt und beseitigt. Den Download von Stinger finden Sie auf dieser Seite .

Übrigens: Aktuelle Informationen und Bekämpfungsstrategien werden derzeit auf der 13. EICAR IT-Sicherheitskonferenz diskutiert. Weitere Details finden Sie unter dieser URL: http://conference.eicar.org/

Angriff droht: Sicherheits-Patch MS4-011 sollte installiert werden (PC-WELT Online, 26.04.2004)

Patch-Lawine von Microsoft: Für jeden ist was dabei (PC-WELT Online, 14.04.2004)

Weitere Sicherheits-News auf PC-WELT

PC-WELT Marktplatz

82958