zur�ck zur Hauptseite
english version  english version
letzte Meldungen
Praktische Anleitung zum PC-Eigenbau
Diskussionsforum rund um den PC!
Tests, Infos und W�rterb�cher!

Tips & Trick f�r Microsoft Produkte!
Editoriales - interessante Berichte im Bereich der IT
Viren: Prophylaxe, Erkennung und Entfernung
Infos zu den neuesten DVDs, deren Features und auch zur DVD Hardware
Login zu Deinem pers�nlichen Bereich
Username:
Passwort:
Nur nicht kontaktscheu. Schreiben Sie uns!



 
 Aktuelle Testberichte 

Direkt zum Video!
Shark Zone H30
Gaming Headset
Direkt zum Video!
Belkin Charge Dock für
Apple Watch/iPhone
Direkt zum Tes!
TrekStor SufTab duo W1
Volks-Tablet
Direkt zum Test!
BABYLON-PRO

EPSON DX3850

UMFRAGE
Kaufst Du PC, Handy etc. Elektronikartikel bei Lebensmittel-Discountern?
Sehr oft
Nur bei Super-Angeboten
Nein, aber ich achte darauf
aus Prinzip nicht
simyo - Weil einfach einfach einfach ist.
 Testberichte 
H�ttest Du's gewu�t?
Dateien markieren
AAPC zeigt, wie's geht!
 Viren 
0 Aktuelle Schn�ppchen
AAPCSI
Der All About PC Schn�ppchen Index: Statistik: Anzahl Schn�ppchen pro Tag
AAPC Newsletter
 Neues aus dem Forum 
FOREN BEI AAPC:   HARDWARE   SOFTWARE   DVD

simyo - Weil einfach einfach einfach ist.

Gefahr

   

 Verbreitung 

   

Name des Virus

W32.Sasser.Worm

Typ

Internet Wurm

befallene Betriebssysteme

Windows 2000/XP, Windows 2003 Server

Alias

W32/Sasser.worm

Infizierung:
W32.Sasser.Worm ist ein Internetwurm, der sich über eine nicht geschlossene Sicherheitslücke im Betriebssystem Windows XP, Windows 2000 und Windows 2003 Server verbreitet.
Es handelt sich dabei um eine Schwachstelle im sog. Local Security Authority Subsystem Service (LSASS). Diese Schwachstelle ist seit dem 13. April 2004 bekannt. Durch einen Pufferüberlauf ist es einem Angreifer möglich, Programmcode auszuführen und somit volle Kontrolle über den angegriffenen Computer zu erlangen.

Der Wurm verbreitet sich nicht perr E-Mail-Nachrichten. Computer mit der genannten Sicherheitslücke werden infiziert, wenn Sie Verbindung zum Internet haben. Sasser benötigt keine Aktion des Anwenders.

Schadensroutine:
Bei einem erfolgreichen Angriff lädt Sasser von dem angreifenden Computer eine Datei per FTP in das Verzeichnis c:\windows\system32. Anschließend wird diese Datei ausgeführt und damit der angegriffene Computer infiziert. Der Wurm startet vom neu infizierten Computer sofort 128 gleichzeitige Angriffsversuche ins Internet, beziehungsweise ins lokale Netzwerk.
Der Wurm kopiert sich im infizierten System unter %Windir%\avserve.exe. Diese Datei ist 15.872 Bytes groß.
%Windir% ist dabei eine Systemvariable, die je nach Betriebssystem varriiert. Unter Windows 2000 ist sie auf c:\winnt gesetzt, unter Windows XP auf c:\windows.

Der Wurm legt zusätzlich einen Registrierungs-Schlüssel an, mit dem er bei jedem Systemstart ausgeführt wird. Der Schlüssel
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avserve.exe"="%windir%\avserve.exe"
sorgt für die Aktivierung des Sasser beim Rechnerstart. Eine weitere Kopie des Wurms befindet sich unter c:\windows\system32\?????_up.exe, wobei ????? beliebige Ziffern sind.

Schutz & Entfernung:
Vor der Entfernung muss die Sicherheitslücke des Betriebssystems geschlossen werden. Andernfalls kann es jederzeit zu einer Neuinfektion kommen, wenn der Computer ans Netz angeschlossen wird. Für die Betriebssysteme Windows 2000 und Windows XP stehen Updates bereit unter:
Microsoft Windows 2000 (SP2, SP3 und SP4)
Microsoft Windows XP und Microsoft Windows XP SP1

Symantec bietet auf der Webseite ein Tool zum Download an, daß den Sasser dann endgültig vom System verbannt.

 Zurück 
 Zur Virenübersicht 
 Virusbeschreibung per Email senden 
 Virusbeschreibung ausdrucken 

Copyright liegt bei All-About-PC. Alle Rechte vorbehalten.
Alle Information auf dieser Website durch All-About-PC urheberrechtlich geschützt. Reproduktion und Vertrieb in jeglicher Form ohne Zustimmung der Redaktion sind verboten. 
Wiewohl alle Informationen auf dieser Website streng recherchiert und weitestgehend durch Sekundärquellen gegengeprüft und bestätigt werden, kann für den Inhalt und daraus etwaig entstehenden Schaden keine Verantwortung übernommen werden.