News W32.Sasser in diversen Varianten aufgetaucht

[Volker]

Einmal mehr gibt es wieder einen neuen Virus zu beklagen. Viele User beschweren sich zur Zeit, dass sie in ihrem Taskmanager eine Anwendung mit der Bezeichnung avserve.exe finden. Diese Datei kommt meist noch mehr als einmal vor und ist definitiv der neue Virus W32.Sasser.

Zur News: W32.Sasser in diversen Varianten aufgetaucht

 

[Blutschlumpf]

Der löscht ja gar nix, ist ja langweilig

 

[Otti]

Ja ja, davon hattens wir gestern schon hier auf FB. Ist relativ harmlos...startet mit Windows und lastet dann das Sys aus. Einfach aktuellsten Virusdef. und Windows Update ziehen und schon ist das Problem Vergangenheit.

 

[Skyline]

Hab den als lsass.exe drinnen......aber irgendwie geht der nitt weg....

 

[Mr. Snoot]

Die lsass.exe ist auch kein Virus sondern ein Windows-Dienst der laufen muss - also keine Angst

 

[- raGe -]

hab den Sasser auch druff, gestern 2x mit Avenger weggeball0rt und heute isser wieder da ?!?

Lsass hüpft bei mir auch herum, hatte sogar schonmal 2 kleine Fenster (wie damals beim MSblast. Wurm!) die mir sagten, der Computer fährt in 60sek runter...allerdings ging der Countdown nie wirklich runter ?!?!!

 

[AshS]

und wie das Teil lästig ist, diese avserve.exe hat auf meinem Amd1700 mal eben 80-90% der Prozzesorleistung geschluckt!! Habs zum Glück, mit dem Microsoft Patch wieder weggekriegt, gibts hier:
http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/bulletinMS04-011.htm
Man muss die Sicherheitslücke schließen, nur mit nem Virenkiller die verseuchten Sasser Files löschen nützt nix, der ist sonst sofort wieder da.

 

[Bloodhunter]

Richtig, hatte ihn auch draúf... hab mich gewundert warum es beim spielen auf einmal anfing zu ruckeln.
Aber der TaskManager hat mir 2 exe Files gezeigt: avserve.exe und ****_up.exe (*=Ziffer).
acserve.exe liegt im Windows Verzeichnis und die andere exe(n), deren Ziffer variiert, lieget in system32.
Ich denk mal die haben was miteinander zu tun oder sind irgend ne "abart" des wurms.
Aber man kann wirklich löschen wie man will, die kommen immer wieder, also Windowsupdate drauf oder ne Firewall benutzen. Aber selbst dann kann ja der Patch ja nich schaden

 

[wazzup]

hatte den gestern auch, ich hätte das update das seit knapp einer woche auf der HDD schlummert lieber doch installieren sollen

 

[Arne]

ich hab ihn noch nicht gehabt, allerdings hat ein freund schon angefragt ob ich wüsste was avserve.exe für ne anwendung sei...
updates hab ich für winxp das sp1 und diese updatecd von ms (stand sep '03 glaub ich) installiert, das scheint zu reichen

 

[- raGe -]

Kann hier vielleicht jemand mal ne Beschreibung inkl. gültigem Link zu dem Patch reinschreiben ?

Habe oben den link geöffnet, die Seite ist 34Kilometer lang, der Scrollbalken 3Nanometer dünn

Es wären wohl viele dankbar dafür...

 

[Online-Slider]

Hab anscheinend den Wurm auf meinem 2000 SP4 basierenden Server drauf. Ich finde den Wurm weder per manueller Suche auf den Serverfestplatten und der Registry. Auf den Clients ist er auch nicht drauf.
Entfernungstools, Virenscanner und Patches sind wirkungslos. Hab den Virus nun den DRITTEN Tag!

 

[Bloodilein]

Habe ihn noch nicht drauf merke aber nur das meine Firewall sehr viel blocken muss

 

[Online-Slider]

Das gibt es nicht! Ich bekomm den Virus nicht weg ! Unmöglich! Wie kann das sein!?

Ist das ne Schwestervariante oder nen Nachfolger?

 

[MisterH]

JUHUUUU hab kein virus W32.sasser.worm auf mein rechner :-D liegt wohl daran weil ich router habe?

 

[Bluerock]

Am besten finde ich es ja das im Radio über diesen Wurm berichtet würde.

 

[Pierre]

ich habe ihn scheinbar auch nicht, aber sicherheitshalber mal schnell wieder virendefinitionsupdate und durchchecken lassen... man weiß ja nie

 

[h1tm4n]

Kann es sein, dass er einem auch sämtliche Admin-Rechte nimmt? Mir wurden nämlich alle Rechte genommen, somit kann ich das Tool von Symantec nicht mehr ausführen etc. Bräuchte eine Lösung, welche ohne formatieren etc. auskommt.

 

[Volker]

JUHUUUU hab kein virus W32.sasser.worm auf mein rechner :-D liegt wohl daran weil ich router habe?

Nope. Sitze auch hinterm Router und hatte ihn. Das ist das Privileg wenn man 200 eMails am Tag bekommt. Da ist man mit sowas immer der erste ^^

 

[Morgoth]

Das Posting dazu gestern auf Bugtraq:

As expected, LSASS exploit-based worm seems to have arrived. Fasten your
seatbelts, those unpatched please use the spew bags provided
I hope PSS resolves the issues discussed in KB835732.



Sasser Worm: http://isc.sans.org/diary.php?date=2004-04-30

"ISC is aware of the LSASS Sasser worm. This worm is spreading through the MS04-011 (LSASS) vulnerability.
According to AV companies, this worm will generate traffic on ports 445, 5554 and 9996.
Also, it will copy itself in the windows folder, under the name of avserve.exe,
create a file at c:\ called win.log and add the registry.."

@Skyliner:
lsass.exe ist es nicht, aber sehr ähnlich. Den habe ich letzte Woche schon mal wo gesehen. Beide, Sasser und diese lsass.exe nutzen scheinbar die Lücke im LSASS-Dienst. Doch befindet sich die lsass.exe im Windows-Verzeichnis, der Dienst hat seine Heimat im Verzeichnis Windows\system32. Mit AntivirXP habe ich den weggekriegt, allerdings erst nach nem Neustart.
Es scheint noch eine weitere Variante zu geben, oder gehört zu den beiden, sollten jedoch im Windows-Verzeichnis noch seltsame EXE-Dateien (wilde Kombinationen aus Buchstaben und Zahlen) vorhanden sein, gehören die wohl auch dazu.

Ach ja, bevor Fragen gestellt werden: es war nicht mein Rechner, der ist wie immer 100% clean.

Gruß
Morgoth