Ich dachte mir, dass so ein Thread gar nicht schlecht käme in der Internet-Ecke, von daher...

Der Worm/Sasser in seinen drei Formen A,B und C macht gerade Schwierigkeiten bei Windows PC´s ohne rechte Absicherung.

Er nutzt eine Sicherheitslücke in der Benutzeranmeldung aus, die erst vor kurzem bekanntgegeben wurde, die lsass.exe. Dieser Parasit nistet sich im system32-Ordner ein, wo er hin und wieder das System dazu provoziert herunterzufahren. Nix weltbewegendes, aber dennoch nervig.

Also habe ich das richtig verstanden, dass die lsass.exe der Virus ist? Falls ja, habe ich ihn drauf. Ich will nur sicher gehen, dass es der Virus ist, bevor ich diese Datei lösche.

Ist ja fast wie mit diesen W32.Worm.Blaster Virus der den Pc auch
immer runterfährt dass oft nerven kann. Aber nun wo ich nen
guten Schutz wie Firewall/Anti Vir usw habe passiert mir
es nicht mehr, aber früher hatte ich oft nen Virus
ohne den Kram logischer Weise! *lol* ^^

Nein, um [Gottheit einfügen] Willen, bloss nicht die lsass.exe löschen! Die Anwendung ist wichtig für den Systembetrieb! Es gibt nur eine Sicherheitslücke, die eben diese betrifft.

Kennt ihr diesen E-Mail Virus? Den müsste jeder mal kennen wenn eure
Mailbox mit vielen Mails von Leuten die ihr nicht kennt drin sind mit
oft den selben Titel aber immer ne andere Adresse ist es ein Virus!
Deswegen niemals sollche Mails öffnen und löschen! ~_^

ich krieg in letzter zeit auch vermehrt spam (à la "rallige omas", etc -_-) in meinen spam-ordner (ein hoch auf gmx! *_*), zudem noch mails, die mich benachrichtigen wollen, dass ich einen virus verschickt hätte. o_O was isn an letzterem dran?

ich krieg in letzter zeit auch vermehrt spam (à la "rallige omas", etc -_-) in meinen spam-ordner (ein hoch auf gmx! *_*), zudem noch mails, die mich benachrichtigen wollen, dass ich einen virus verschickt hätte. o_O was isn an letzterem dran?

DIE KRIEG ICH AUCH IMMA!!!!!

Könnte ja stimmen... lösche trotzdem gleich immer O_o

@Sue
Die Mail wo gesagt wird du hast nen Virus ist oft eine Verarsche
um dich zu locken die Mail zu öffnen! Also sowas wie ne Falle
einfach ignorieren was da steht und löschen! *g* ^^

yoa, mach ich eh immer! xD
dann noch was von wegen "nich zustellbar blabla", dabei hab ich garkeine mail verschickt! o_O *lösch lösch*

@Sue
Genau so ist es! Oder ich krieg Mails wo als Titel stand "Ihr neues Passwort" oder "Sie haben einen Virus hier haben sie das Programm"
oder auch "Öffnen ist wichtig!" alles nur Fallen kann ich sagen! >.>

nyoa, das is scho klaa xD
bin da noch nie drauf reingefallen, die zu öffnen. >___<

Ich dachte mir, dass so ein Thread gar nicht schlecht käme in der Internet-Ecke, von daher...

Der Worm/Sasser in seinen drei Formen A,B und C macht gerade Schwierigkeiten bei Windows PC´s ohne rechte Absicherung.

Er nutzt eine Sicherheitslücke in der Benutzeranmeldung aus, die erst vor kurzem bekanntgegeben wurde, die lsass.exe. Dieser Parasit nistet sich im system32-Ordner ein, wo er hin und wieder das System dazu provoziert herunterzufahren. Nix weltbewegendes, aber dennoch nervig.

Der Blasterworm macht genau das gleiche.
Der kommt auch ohne Outlook zu euch ! Einfach über die Internet-Verbindung.
Damals hast du mir noch Panik-Mache vorgeworfen.
Ich rate euch: Holt euch das Service Pack 2 RC1 für Windows XP.

http://www.microsoft.com/technet/prodtechnol/winxppro/sp2preview.mspx

Da sind alle Wurm-Lücken schon gefixt, und wenn bis zum endgültigen Release Ende Juli neue Lücken bekannt werden werden die sicher auch noch gestopft.

Ausserdem solltet ihr euch PCillin holen. Das ist eine Kombination auf Virenscanner und Firewall. Schön einfach, aber wird oft upgedated. Manchmal kommen täglich mehrere Updates.

man sollte auch regelmäßig windows updaten.
start -> windows update (ganz oben)

@Keitarou
Gut, dann lösche ich das mal nicht *schwitz* Aber falls ich das Ding bei mir drauf habe....wie finde ich den und wie lösche ich ihn?

Per Hand ist es an sich recht einfach, aber da muss man sich im Windoof.Stammverzeichnis guttun, nebst Eingriff in die Registrierung.

Einfacher geht´s per Virenscanner, wie der (www.free-av.de) hier. Kostenlos für den Privatgebrauch und recht leistungsfähig.

@Shin: Ach komm, es macht schon einen Unterschied, einen allgemeinen Thread dafür hinzustellen ins Internet-Eck, gedacht auch für zukünftige Meldungen, und die Methode, die Du bevorzugst. Also rein in Aktuelles und Politisches und möglichst eine große Sache draus machen. ;)

Virusname: Worm/Sasser.A
Alias: Sasser
Viren Typ: Wurm
Dateigröße: 15.872 Bytes
Betriebsysteme: Microsoft Windows 2000/XP/Server 2003
Ursprung: unbekannt
Datum: 01.05.2004
Schadensroutine: Nutzt Sicherheitslücke LSASS aus
VDF Version: 6.25.00.42

Allgemeine Beschreibung:

Worm/Sasser.A hat eine Dateigröße von 15.872 Bytes und kopiert sich als avserve.exe in das Windows Systemverzeichnis. Er nutzt die LSASS (Local Security Authority Subsystem Service) Sicherheitslücke von Microsoft aus.
Sollten nicht alle Patches von Microsoft eingespielt sein oder keine aktive Firewall zum Internet bestehen, kann der Wurm sich auf dem Windows XP oder Windows 2000 System installieren..

Symptome:
Im Root von Laufwerk C: findet sich eine Datei namens WIN.LOG

Infektionsweg:
LSASS Sicherheitslücke von Microsoft

Technische Details:

Worm/Sasser.A verbreitet sich über eine LSASS (Local Security Authority Subsystem Service) Sicherheitslücke von Microsoft. Siehe dazu:
http://www.microsoft.com/technet/se...n/MS04-011.mspx

Sollte der Anwender die Betriebsystem Windows XP oder Windows 2000 einsetzen und den oben genannte Microsoft Patch nicht eingespielt haben, kann der Wurm auf dem System installieren. Der Wurm scannt über den Port TCP 445 / TCP 9996 nach weiteren Rechnern, die diese Sicherheitslücke aufweisen. Ein FTP Script wird geladen welche sich über den Port 5554 die Dateien via FTP nachlädt.

Der Wurm Worm/Sasser.A kopiert sich in das Windows Verzeichnis als AVSERVE.EXE und legt folgenden Registry Eintrag an, damit er beim nächsten Systemstart automatisch gestartet wird:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run]
"avserve.exe"="C:\\%WinDir%\\avserve.exe"
Es wird die Datei C:\WIN.LOG angelegt, in die IP Adresse des Localhost steht.

Der Wurm erstellt mehrer Kopien von sich selbst im Windows Systemverzeichnis mit dem Namen <%5 variable Zahlen%>_up.exe.


Entfernungshinweise:

- Mit AntiVir:
Mit der aktuellen AntiVir Version wird der Virus entfernt. Starten Sie hierzu den Suchlauf und löschen Sie alle infizierten Dateien.
- Manuell bei Windows 2000/ XP:
Um den Virus von Hand zu entfernen, sollten Sie sich im abgesicherten Modus befinden. Drücken Sie die F8-Taste bevor das Bootlogo von Windows erscheint und wählen Sie die Option 'Abgesicherter Modus'. Löschen Sie folgende Dateien:

\%WinDir%\AVSERVE.EXE
\%WinDir%\%SystemDir%\<%5 variable Zahlen%>_up.exe
C:\WIN.LOG
Gehen Sie auf Start und wählen Sie 'Ausführen'. Geben Sie im angezeigten Fenster 'regedit' ein und löschen folgende Registry-Einträge:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run]
"avserve.exe"="C:\\%WinDir%\\avserve.exe"
Starten Sie den Computer neu und anschließend den Suchlauf von AntiVir.

Beachten Sie eventuelle Einträge im Autostart-Ordner und entfernen Sie diese gegebenenfalls.

Quelle: Antivir (www.antivir.de)

Habe Norton Antivirus 2004. Habe heute ein Update gemacht und gescannt. Hat aber nix gefunden. Da habe ich wohl nochmal Glück gehabt. Hoffentlich fange ich mir den nicht auch noch ein :?

Ladet euch den Patch hier runter:
(ist für Windows XP)

http://download.microsoft.com/download/4/c/d/4cda48a2-28e8-46fb-b332-2dcc618e6b0b/WindowsXP-KB835732-x86-DEU.EXE


Dann seid ihr vor Sasser auch in Zukunft sicher.
Da es aber noch andere Würmer gibt die andere Lücken nutzen empfiehlt es sich auch noch alle anderen Updates zu installieren die Microsoft anbietet.
In der Preview-Version von Service Pack 2 ist dieses Update übrigens schon enthalten.
Das SP2 kann aber auch etwas nervig sein. Wenn man z.B. das automatische Updaten über den Microsoft-Server deaktiviert hat wird man dauernd von so nem Popup-Fensterchen angelabert daß man sich in potentieller Gefahr befindet. Wird sicher bald nen Trick geben wie man diesen Unsinn abstellen kann.

Edit: ok. hab jetzt rausgefunden wie man es abstellt *g*

man sollte auch regelmäßig windows updaten.
start -> windows update (ganz oben)

...sagt die, die gerade einen virus hatte... :roll:
war zum glück nich der sasser, sondern gaobot.gen. oô
auch so'n blödes teil. fährt zwar dem pc nicht runter, jedoch legt er den virenscann, der immer im hintergrund läuft und irgendwie die firewall lahm. ausserdem sendet er auch irgendwelche keys von pc-spielen an den virus-programmierer. xD
hab des teil mit norton nicht losgekriegt. der wollte es partout nich isolieren, geschweige denn löschen.
antivir hat den virus noch nichmal gefunden... :smirk:
irgendwann hats dann geklappt.

blabla >>°

Aus Quellen der dpa steht nun fest:

Deutscher Schüler entwickelte "Sasser"

Hannover - Ein 18 Jahre alter Schüler aus Niedersachsen hat den weltweit grassierenden Internet-Wurm "Sasser" in Umlauf gebracht. Der junge Mann aus dem kleinen Dorf Waffensen im Kreis Rotenburg/Wümme bei Bremen hat die Programmierung des Wurms bereits gestanden.

Das Landeskriminalamt ermittelt wegen "Computer-Sabotage". Darauf stehen Strafen von bis zu fünf Jahren Haft. Der entscheidende Hinweis auf den Autor des Wurms sei von Microsoft selbst gekommen.
"Man hatte den "Sasser"-Urheber erst in den USA vermutet, später dann in Russland", sagte BSI-Sprecher Dickopf.

Ich denke eine Gefängnisstrafe ist jetzt noch das geringste Problem von dem Typen. Wenn alle geschädigten Firmen mit Schadensersatzklagen ankommen wird er einen Millionenberg von Schulden haben die er für den Rest seines Lebens abzahlen kann.

Ich sehe schon kommen, daß er gut davonkommt und am besten noch eine Anstellung bei einem Antiviren-Hersteller bekommt!!! :wink:
Habe bis jetzt noch nie gehört, daß so einer mal ne ordentliche Strafe bekommt. Ist eh schon ziemlich erbärmlich, daß jemand, der so was drauf hat sein können nicht konstruktiver nutzt.
Hab mir bis jetzt noch nie was eingefangen, da mein Rechner ziemlich gut abgesichert ist und auch wöchentlich aktuallisiert wird. Trotzdem hoffe ich auf Höchststrafe!!!
Mein bester Freund ist auch einer der Betroffenen, der seinen Laden einen halben Tag schliessen musste, weil Sasser den Rechner lahmgelegt hat. :motz:

Der hat nichts drauf, das ist eins von vielen Script Kiddies. Solche Baukasten-Vieren kann man sich überall runterladen, außerdem war die Sicherheitslücke schon lange vor Sasser bekannt.
Schon arm, wenn sich ein Konzern wie Microsoft von solchen Scripts ausbooten lässt.

Der Jugendliche wurde für 25.000 Euro Kopfgeld von seinen Freunden verraten.

Ts ts ts, da fragt man sich wer der wirklich Arme ist, der Sasser-Kerl, der so dämlich war es rum zu erzählen oder seine Kumpels die so Geldgeil sind.

Was ist eigentlich der Unterschied zwischen Wurm und Viren ?
Schädliche Programme die andere infizieren können kenn ich schon seit dem Amiga 500. Damals haben sie "nur" die Bootblöcke zerstört und die Disketten unbrauchbar gemacht. Echte File-Viren kenn ich seit ich nen PC hab.
*grübel* Wurm ?

Ok. Habs rausgefunden.
Der Wurm verändert nur die System-Einstellungen um Schaden anzurichten, und versucht dann andere Rechner zu infizieren, aber er infiziert keine Dateien.
Richtig so ?

Der Jugendliche wurde für 25.000 Euro Kopfgeld von seinen Freunden verraten.

Ts ts ts, da fragt man sich wer der wirklich Arme ist, der Sasser-Kerl, der so dämlich war es rum zu erzählen oder seine Kumpels die so Geldgeil sind.

Vieleicht hat er seine Freunde ja nicht vorgewarnt, die haben sich Sasser eingefangen und das ist jetzt die Rache!!! :wink:

hmh... hab gerade frisch formatiert und einige Probleme gehabt. Hab sofort einen von diesen "in 50 sekunden wird ihr rechner heruntergefahren" drauf gehabt, denn ich musste ja erstmal windows updaten..

ich kann keine Probleme haben , denn mein computer hat eine eigene festplatte nur mit firewals und anti viren programmen.


so kann nichts geschehen

Die viren und würmer werden also getötet http://www.click-smilies.de/sammlung0304/waffen/violent-smiley-006.gif http://www.click-smilies.de/sammlung0304/waffen/violent-smiley-098.gif http://www.click-smilies.de/sammlung0304/waffen/violent-smiley-041.gif

sehr naiv das zu glauben. Hab ich auch eine zeitlang, aber es kommt mehr durch als man denkt :? Kann man nichts gegen machen. meistens wird das Zeugs dann ja auch entfernt, wenn man die Firewall, den Virenscanner oder sonstwas aktuallisiert.

bei mir ist es so: er regeneriert sich alle vier wochen von alleine

Für alle, die sich schon immereinmal gefragt haben, was der Unterschied zwischen Würmern und Viren ist und was es mit den anderen "Bösewichten" auf sich hat.

Dazu eine kleine FAQ:


Was ist ein Virus?
Ein Computervirus ist ein kleines Programm, welches dazu geschrieben wurde, die Funktionsweise eines Rechners ohne die Erlaubnis oder Kenntnis des Benutzers zu ändern. Ein Virus muss zwei Kriterien erfüllen:

Er muss sich selbst ausführen. Er legt seinen eigenen Code häufig in den Ausführungspfad eines anderen Programms.
Er musst sich replizieren. Er kann beispielsweise andere ausführbare Dateien durch eine mit einem Virus infizierte Datei ersetzen. Viren können sowohl Desktop-Computer als auch Netzwerk-Server infizieren.
Manche Viren sind programmiert, dem Computer zu schaden, indem sie Programme beschädigen, Dateien löschen oder die Festplatte neu formatieren. Andere wurden nicht dazu ausgelegt, Schaden anzurichten, sondern sich nur zu replizieren und ihre Anwesenheit durch Text, Bild und Ton bekanntzugeben. Selbst diese ungefährlichen Viren können dem Computerbenutzer Probleme bereiten. Sie belegen Computerspeicher, der von legitimen Programmen benötigt wird. Sie verursachen daher oft ein fehlerhaftes Verhalten und können zu Systemabstürzen führen. Darüberhinaus enthalten viele Viren Fehler, die Systemabstürze und Datenverlust verursachen können.
Man unterscheidet fünf verschiedene Arten von Viren:
1. Programmviren
2. Hybridviren
3. Makroviren
4. Bootviren
5. Masterbootviren


Was ist ein Trojanisches Pferd?
Trojanische Pferde sind Betrüger. Es handelt sich dabei um Dateien, die sich als wünschenswert ausgeben, aber in Wahrheit schädlich sind. Ein sehr wichtiges Unterscheidungsmerkmal ist, dass sie sich im Gegensatz zu Viren nicht replizieren. Trojaner enthalten bösartigen Code, der bei Auslösung Datenverlust oder -diebstahl zur Folge hat. Damit ein Trojaner sich verbreiten kann, müsstet ihr diese Programme auf euren Rechner lassen, z.B. durch das Öffnen eines Email-Anhangs oder Herunterladen einer Datei vom Internet. PWSteal.Trojan ist bspw. ein Trojaner.


Was ist ein Wurm?
Würmer sind Programme, die sich ohne Zutun einer Wirtsdatei von System zu System replizieren. Darin liegt der Gegensatz zu Viren, die zur Ausbreitung eine infizierte Wirtsdatei benötigen. Obwohl die Würmer im allgemeinen im Innern anderer Dateien existieren - häufig in Word- oder Excel-Dokumenten - gibt es einen Unterschied zwischen der Benutzung der Wirtsdatei durch einen Wurm und der eines Virus. Gewöhnlich bringt der Wurm ein Dokument heraus, das das Wurmmakro bereits in sich trägt. Das ganze Dokument wird von Computer zu Computer weitergeleitet, so dass das ganze Dokument als Wurm betrachtet werden sollte. PrettyPark.Worm ist ein besonders gängiges Beispiel.


Was ist ein Scherzvirus (Hoax)?
Scherzviren sind Nachrichten, die meistens über E-Mail versendet werden und Kettenbriefen gleichkommen.

Gefälschte eMails mit BKA-Absender im Umlauf

Ich habe gerade eine eMail erhalten:

Betreff: Ermittlungsverfahren wurde eingeleitet

Sehr geehrte Dame, sehr geehrter Herr,

das Herunterladen von Filmen, Software und MP3s ist illegal und somit strafbar.
Wir moechten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter der IP 131.230.110.71 erfasst wurde. Der Inhalt Ihres Rechners wurde als Beweismittel sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet.

Die Strafanzeige und die Moeglichkeit zur Stellungnahme wird Ihnen in den naechsten Tagen schriftlich zugestellt.
Aktenzeichen NR.:#5462 (siehe Anhang)

Hochachtungsvoll
i.A. Juergen Stock



--- Bundeskriminalamt BKA
--- Referat LS 2
--- 65173 Wiesbaden
--- Tel.: +49 (0)611 - 55 - 12331 oder
--- Tel.: +49 (0)611 - 55 - 0


Im Anhang befindet sich eine zip-Datei mit der Bezeichnung "Akte5462.zip".

Ich war nicht das einzige 'Opfer' und möchte dringend davon abraten den Datenanhang der Mails zu öffnen. Es handle sich um einen Massenmailer-Wurm, der sich beim Öffnen automatisch an die im Adressbuch des Rechners gelisteten Adressen weiterversendet. Sober-Z alias W32.Sober.X@mm ist erstmals am heutigen Morgen gesichtet worden.

Weitere Mailinhalte können eine Einladung zu 'Wer wird Millionär?' oder eine Empfangsbestätigung von eBay sein, die dazu auffordert den ausgefüllten Anhang zurückzusenden.

also, das müsste dir doch n wenig suspekt vorgekommen sein, oder?
denn ich hab auch so ne mail bekommen, vom bka...allerdings in 192facher ausführung^^
dann hab ich mir gedacht:"oh, wird wohl n virus oder so sein!"

@enis: Ich habe nur die vom 'BKA' in einmaliger Ausführung bekommen, mich ein bisschen schlau gemacht und siehe da: Die Mail hat sich sehr schnell weit verbreitet. Fremde eMails von unbekannten Adressen samt Anhang sollte man sowieso immer mit Vorsicht genießen.
Außerdem ist es doch freundlich die Message zu verbreiten, dass das Downloaden von Software, mp3s und Filmen illegal ist! :wink: