Also, viele user beklagen sich, dass ihr Pc herrunter fährt, sobald sie ins Internet gehen , etc... , da Isass abgestürzt ist.
Der Grund dafür ist, dass der Wurm Sasser sich über eine Sicherheitslücke verbreitet. Um diese zu stopfen, ist es nötig den neusten Patch von Microsoft zu installieren.

Hier gehts zum Patch
zur Virus entfernung auch noch das: Hier gehts lang
Man sollte auch, wenn man keine Firewall hat die Windows integrierte Firewall aktivieren: http://www.microsoft.com/germany/ms/sec ... owsxp.mspx


Wenn oder bevor man den Patch einspielen kann ein Fenster kommen, wie

Das System wird in 60 Sekunden heruntergefahren...

dann öffnet man die Eingabeaufforderung (Start-Ausführen-cmd) und tippt
shutdown -a ein. Außerdem sollte mein seinen Rechner nach dem sein Anti Vir geupdate hat noch einmal scannen. Wurm Sasser wird von eigentlich allen AV erkannt. Wer kein Anti -Vir hat, kann sich hier ein relativ gutes kostenlos runter laden. Hier gehts zum AV

http://www.free-av.com/

zur Virus entfernung auch noch das: Hier gehts lang
Man sollte auch, wenn man keine Firewall hat die Windows integrierte Firewall aktivieren: http://www.microsoft.com/germany/ms/sec ... owsxp.mspx

------------------------------------------------------------------------------------------------------

Man musste kein Prophet sein, um nach den letzten Veröffentlichungen von Security Advisories zu Sicherheitslücken in Windows einen Wurm vorauszusagen, der genau über diese Lücken in Systeme eindringt. Solch ein Wurm ist nun aufgetaucht. Der Schädling, den die Hersteller von Antivirensoftware Sasser nennen, nutzt einen Fehler im Local Security Authority Subsystem Service (LSASS), der unter anderem zur Authentifizierung von Systemen in Netzwerken dient. Durch den Fehler ist es möglich eigenen Code in verwundbare Systeme einzuschleusen. Bedroht sind nicht gepatchte Windows-2000 und XP-Systeme.

Sasser erzeugt zufällige IP-Adressen und nimmt mit den darunter erreichbaren Systemen Kontakt auf. In verwundbare Rechner injiziert er Code, der den eigentliche Wurm von bereits infizierten Systemen nachlädt. Auf befallenen Systemen läuft dazu auf Port 5554 ein FTP-Server. Des Weiteren soll der Wurm auf anderen TCP-Ports ab 1068 auf eingehende Verbindungen lauschen. Sasser verursacht zudem – wie seinerzeit schon der Wurm Blaster/Lovsan – manchmal einen Absturz des LSA-Dienstes, was zum Reboot des Rechners durch den NT-Autoritätsdienst innerhalb von 60 Sekunden führt. Abhilfe schafft ein "shutdown -a" in der Windows-Eingabeaufforderung vor Ablauf dieser Zeitspanne. Eine echte Schadroutine hat Sasser nicht, auch scheint die Verbreitung des Schädlings noch recht gering zu sein. Anwender sollten aber dennoch den Patch von Microsoft einspielen.

Siehe dazu auch:

* Beschreibung von NAI
* Beschreibung von Symantec

--------------------------------------------------------------------------------------------------------



Virusname: Worm/Sasser.A
Alias: Sasser
Viren Typ: Wurm
Dateigröße: 15.872 Bytes
Betriebsysteme: Microsoft Windows 2000/XP/Server 2003
Ursprung: unbekannt
Datum: 01.05.2004
Schadensroutine: Nutzt Sicherheitslücke LSASS aus
VDF Version: 6.25.00.42

Allgemeine Beschreibung:

Worm/Sasser.A hat eine Dateigröße von 15.872 Bytes und kopiert sich als avserve.exe in das Windows Systemverzeichnis. Er nutzt die LSASS (Local Security Authority Subsystem Service) Sicherheitslücke von Microsoft aus.
Sollten nicht alle Patches von Microsoft eingespielt sein oder keine aktive Firewall zum Internet bestehen, kann der Wurm sich auf dem Windows XP oder Windows 2000 System installieren..

Symptome:
Im Root von Laufwerk C: findet sich eine Datei namens WIN.LOG

Infektionsweg:
LSASS Sicherheitslücke von Microsoft

Technische Details:

Worm/Sasser.A verbreitet sich über eine LSASS (Local Security Authority Subsystem Service) Sicherheitslücke von Microsoft. Siehe dazu:
http://www.microsoft.com/technet/se...n/MS04-011.mspx

Sollte der Anwender die Betriebsystem Windows XP oder Windows 2000 einsetzen und den oben genannte Microsoft Patch nicht eingespielt haben, kann der Wurm auf dem System installieren. Der Wurm scannt über den Port TCP 445 / TCP 9996 nach weiteren Rechnern, die diese Sicherheitslücke aufweisen. Ein FTP Script wird geladen welche sich über den Port 5554 die Dateien via FTP nachlädt.

Der Wurm Worm/Sasser.A kopiert sich in das Windows Verzeichnis als AVSERVE.EXE und legt folgenden Registry Eintrag an, damit er beim nächsten Systemstart automatisch gestartet wird:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run]
"avserve.exe"="C:\\%WinDir%\\avserve.exe" ODER avserve2.exe
Es wird die Datei C:\WIN.LOG angelegt, in die IP Adresse des Localhost steht.

Der Wurm erstellt mehrer Kopien von sich selbst im Windows Systemverzeichnis mit dem Namen <%5 variable Zahlen%>_up.exe.


Entfernungshinweise:

http://www.free-av.com/


Mit AntiVir:
-------------
Mit der aktuellen AntiVir Version wird der Virus entfernt. Starten Sie hierzu den Suchlauf und löschen Sie alle infizierten Dateien.
- Manuell bei Windows 2000/ XP:
Um den Virus von Hand zu entfernen, sollten Sie sich im abgesicherten Modus befinden. Drücken Sie die F8-Taste bevor das Bootlogo von Windows erscheint und wählen Sie die Option 'Abgesicherter Modus'. Löschen Sie folgende Dateien:

\%WinDir%\AVSERVE.EXE
\%WinDir%\%SystemDir%\<%5 variable Zahlen%>_up.exe
C:\WIN.LOG
Gehen Sie auf Start und wählen Sie 'Ausführen'. Geben Sie im angezeigten Fenster 'regedit' ein und löschen folgende Registry-Einträge:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run]
"avserve.exe"="C:\\%WinDir%\\avserve.exe"
Starten Sie den Computer neu und anschließend den Suchlauf von AntiVir.

Beachten Sie eventuelle Einträge im Autostart-Ordner und entfernen Sie diese gegebenenfalls.

Quelle: Antivir


MfG
Nikita

mhh das klingt recht interessant ...aber meint ihr nicht das in den updates von microsoft auch andere spionage dateien mit drin sind ,....also ich denke das schon , die nutzen doch jede möglichkeit unsere systeme zu überwachen ...


Die machen die Viren vllt selber *scherz*


Habt ihrs schon auf gamestar.de gelesen ?

Microsoft lässt sich den Doppelklick pattentierern

%%??!!°@Flo@°!!??%%

Du kannst ja, wenn du dich als Privatperson von MS ueberwacht und ausspioniert fuehlst, das Laden von den 5 oder 6 SicherheitsPatches , die zur Zeit geladen werden muessen (ueber WindowsUpdate)...unterlassen.

Niemand zwingt dich dazu , du musst dann aber in Kauf nehmen, dass dich ANDERE auspionieren, die manchmal viel unangenehmer als MS sind ........
Oder du steigst gleich auf Linux um.

MfG
Nikita

Jep das mag gut sein , ich selbst habe aber keine daten wie zum beispiel passwörter oder bankdaten am rechner , sprich nichts was nen hacker interessieren könnte ....


Nicht das ich jetzt was am rechner hätte was microsoft interessiert



Mfg Flo