1. Hi Gast, Du bist neu hier. Um das Forum übersichtlich zu halten, bitten wir Dich, erst die Forensuche (Lupe oben rechts) zu bemühen, bevor Du ein neues Thema eröffnest. Vieles wird hier schon diskutiert. Vielen Dank fürs Verständnis und viel Spaß hier!
    Information ausblenden

WORM_SASSER.A

Dieses Thema im Forum "Sonstiges" wurde erstellt von Lachsy, 3. Mai 2004.

  1. Lachsy

    Lachsy Dr. Jerkl & Mr. Bait

    Registriert seit:
    30. Juni 2003
    Themen:
    13
    Beiträge:
    272
    Likes erhalten:
    0
    Ort:
    Essen
    WORM_SASSER.A

    Beschreibung:
    Am 1.Mai 2004 um 4:15 AM (PST), haben die TrendLabs einen Yellow Alert ausgelöst, um die Ausbreitung dieser Malware einzudämmen. Berichte über Infektionen liegen bereits aus den USA vor.

    Dieser Computerwurm nutzt die sog. "Windows LSASS Vulnerability", die einen Speicherüberlauf darstellt, der einem entfernten Nutzer ermöglicht Code auf dem befallenen System auszuführen und ihm vollen Systemzugriff ermöglicht. Details dieser Vulnerability kann man den folgenden Seiten entnehmen:

    MS04-011_MICROSOFT_WINDOWS
    Microsoft Security Bulletin MS04-011
    Um sich zu verbreiten, durchsucht er das Netzwerk nach verwundbaren Systemen. Sobald er ein solches findet, versendet er ein präpariertes Datenpaket um so einen Speicherüberlauf bei der LSASS.EXE zu induzieren.

    Er erstellt die Scriptdatei CMD.FTP, die Anweisungen für das befallene Sytsem enthält, eine Kopie der Malware per FTP (via Port 5554) von einem bereits infiziertem System herunterzuladen und lokal auszuführen.

    Da diese Malware einen Speicherüberlauf in der Datei LSASS.EXE erzeugt, stürzt dieses Programm ab und fordert dadurch zu einem Neustart von Windows auf.

    Wichtig:TREND MICRO empfiehlt dringend den Patch für die Windows LSASS vulnerability einzuspielen. Der Patch ist auf folgender Intenretseite erhältlich:

    Microsoft Security Bulletin MS04-011
    http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx
    gegenmittel
    http://securityresponse.symantec.com/avcenter/FxSasser.exe

    mfg Lachsy
     
  2. CatchAndReleaseIt

    CatchAndReleaseIt Barsch Vader Gesperrt

    Registriert seit:
    18. November 2003
    Themen:
    43
    Beiträge:
    2.044
    Likes erhalten:
    0
    Ort:
    Berlin
    :evil: Immer dieser Flickenteppich von Microsift ....

    Wer eine Firewall (z.B. Zonealarm) im Hintergrund laufen läßt, braucht sich über Sasser keine Sorgen machen ... :wink:
     

Diese Seite empfehlen