Symantec Deutschland
 Symantec weltweit
Produkte
Bezugsquellen
Service und Unterstützung
Händlerzentrum
Security Response
Downloads
Über Symantec
Suche
Kontakt


©1995-2009 Symantec Corporation.
All rights reserved.

Legal Notices
Datenschutz
Sicherheitswarnungen

W32.Sasser.E.Worm

Kategorie 2
Entdeckt am: 09.05.2004
Zuletzt aktualisiert am: 12.11.2004


W32.Sasser.E.Worm ist eine kleinere Variante von W32.Sasser.Worm. Er versucht, die im Microsoft Security Bulletin MS04-011 beschriebene LSASS-Schwachstelle auszunutzen, und verbreitet sich, indem er willkürlich ausgewählte IP-Adressen nach angreifbaren Systemen absucht.

W32.Sasser.E.Worm unterscheidet sich folgendermaßen von W32.Sasser.Worm:

  • Verwendet eine andere Mutex: SkynetNotice.
  • Verwendet einen anderen Dateinamen: lsasss.exe.
  • Erstellt andere Werte in der Registrierung: "lsasss.exe"
  • Benutzt andere Portnummern, die durch den FTP-Server und die Remote-Shell benutzt werden: 1023 und 1022.
  • Nachdem er zwei Stunden lang ausgeführt wurde, zeigt er eine Meldung an.
  • Er löscht die Werte aus der Registrierung, die bekannterweise durch die Bedrohungen Trojan.Mitglieder, W32.Beagle.W@mm und W32.Beagle.X@mm installiert zu werden.
  • Der Name der Datei, die vom FTP-Server abgerufen wird, endet auf die Zeichenfolge _update.exe.
  • Der Wurm protokolliert Daten in der Datei C:\ftplog.txt.
  • Er hat eine aktualisierte Routine für das Ermitteln von angreifbaren Computern. W32.Sasser.E.Worm sendet eine ICMP Echo-Anfrage, bevor er versucht, eine Verbindung herzustellen. Diese Änderung kann verhindern, dass der Wurm auf Windows 2000-Systemen richtig ausgeführt wird.

W32.Sasser.E.Worm kann auf Windows 95/98/Me-Computern zwar ausgeführt werden, er kann diese Systeme jedoch nicht infizieren. Obgleich diese Betriebssysteme nicht infiziert werden können, können sie dazu benutzt werden, um angreifbare Computer zu infizieren. 		 

Varianten: W32.Sasser.Worm
Typ: Wurm
Infektionslänge: 15.872 Byte, 15.873 Byte
Betroffene Systeme: Windows 2000, Windows XP
Nicht betroffene Systeme: DOS, Linux, Macintosh, Microsoft IIS, Novell Netware, OS/2, UNIX, Windows 3.x, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003
CVE-Referenzen: CAN-2003-0533

Schutz
  • Virusdefinitionen (LiveUpdate™ Weekly)

    • 09.05.2004
  • Virusdefinitionen (Intelligent Updater)

    • 09.05.2004

    Feststellung einer Bedrohung

    Im Umlauf

    Bedrohungsdaten
    Niedrig Niedrig Hoch

    Im Umlauf:
    Niedrig

    Schaden:
    Niedrig

    Verteilung:
    Hoch

    Schaden

    Verteilung

    Technische Details

    Bei Ausführung geht W32.Sasser.E.Worm folgendermaßen vor:

    1. Versucht, eine Mutex namens SkynetNotice zu erstellen, und beendet sich, wenn der Versuch fehlschlägt. Dies stellt sicher, dass nicht mehr als eine Instanz des Wurms gleichzeitig auf einem Computer ausgeführt werden kann.

    2. Kopiert sich selbst als %Windir%\lsasss.exe.

      Hinweis: %Windir% ist eine Variable. Der Wurm findet den Windows-Installationsordner (standardmäßig ist dies C:\Windows oder C:\Winnt) und kopiert sich dorthin.

    3. Er fügt den Wert

      "lsasss.exe"="%Windir%\lsasss.exe"

      dem folgenden Registrierungsschlüssel hinzu:

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

      Dadurch wird der Wurm ausgeführt, sobald Sie Windows starten.

    4. Er löscht die Werte
      • "ssgrate.exe"
      • "drvsys.exe"
      • "Drvddll_exe"

        aus dem Registrierungsschlüssel

        HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

        Hinweis: Die gelöschten Werte wurden wahrscheinlich durch Trojan.Mitglieder, W32.Beagle.W@mm und W32.Beagle.X@mm installiert.

    5. Verwendet die AbortSystemShutdown-API, um zu verhindern, dass der Computer heruntergefahren oder neu gestartet wird. Der Wurm ruft diese API jede Sekunde während der ersten zwei Stunden, in denen er ausgeführt wird, auf. Anschließend zeigt er eine Meldung mit dem folgenden Text an:

      1. Your computer is affected by the MS04-011 vulnerability
      2. It can be that dangerous computer viruses similar the Blaster worm infect your computer
      3. Please update your computer with the MS04-011 LSASS patch from the www.microsoft.com website
      4. This is an message from the SkyNet Team for malicious activity prevention
    6. Startet einen FTP-Server auf TCP-Port 1023. Dieser Server wird benutzt, um den Wurm auf andere Hosts zu verbreiten.

    7. Ruft die IP-Adressen des infizierten Computers mit der Windows-API gethostbyname ab.

      Hinweis: Der Wurm ignoriert die folgenden IP-Adressen:
      • 127.0.0.1
      • 10.x. x. x
      • 172.16.x. x - 172.31.x. x (einschließlich)
      • 192.168.x. x
      • 169.254.x. x

    8. Anhand einer der IP-Adressen, die vom infizierten Computer abgerufen wurden, generiert er eine neue IP-Adresse.
      • In 25 % der Fälle werden die letzten zwei Oktette der IP-Adresse in willkürliche Zahlen geändert. Z. B. wenn A.B.C.D die IP-Adresse ist, die in Schritt 7 abgerufen wird, sind C und D willkürlich.
      • In 23 % der Fälle werden die letzten drei Oktette der IP-Adresse in willkürliche Zahlen geändert. Z. B. wenn A.B.C.D die IP-Adresse ist, die in Schritt 7 abgerufen wird, sind B, C und D willkürlich.
      • In 52 % der Fälle wird die IP-Adresse vollständig willkürlich gewählt.

        Hinweise:
      • Weil der Wurm vollständig willkürliche Adressen in 52 % der Fälle erstellt, kann jede IP-Adresse infiziert werden, einschließlich der Adressen, die in Schritt 7 ignoriert werden.
      • Dieser Prozess besteht aus 128 Threads, was viel CPU-Zeit erfordert. Infolgedessen kann ein infizierter Computer so langsam und kaum verwendbar werden.

    9. Versucht, die Remote-Adresse zu pingen. Wenn dies erfolgreich ist, stellt er eine Verbindung zum TCP-Port 445 her, um festzustellen, ob ein Remote-Computer online ist.

    10. Wenn eine Verbindung zu einem Remote-Computer hergestellt wird, sendet der Wurm Shell-Code an diesen Computer. Dies kann dazu führen, dass der Computer eine Remote-Shell auf TCP-Port 1022 öffnet.

    11. Verwendet die Shell auf dem Remote-Computer, um eine Rückverbindung zum FTP-Server, der auf TCP-Port 1023 ausgeführt wird, herzustellen, und ruft eine Kopie des Wurms ab. Diese Kopie hat einen Namen, der aus vier oder fünf Ziffern besteht und auf _upload.exe endet. Beispiel: 74354_upload.exe.

    12. Der Lsass.exe-Prozess wird abgebrochen, nachdem der Wurm die Windows LSASS-Schwachstelle ausgenutzt hat. Windows zeigt die Warnung an und fährt den Computer innerhalb einer Minute herunter.

    13. Erstellt eine Datei unter C:\ftplog.txt, die die IP-Adresse des Computers enthält, den der Wurm als letztes zu infizieren versucht hat, sowie die Anzahl der infizierten Computer.

    Empfehlungen

    Symantec Security Response empfiehlt allen Anwendern und Administratoren, die folgenden grundlegenden Sicherheitsregeln einzuhalten:

    • Beenden und entfernen Sie all nicht benötigten Dienste. Viele Betriebssysteme installieren automatisch Hilfsprogramme, die nicht kritisch sind, wie FTP-Clients, Telnet und einen Internetbrowser. Diese Dienste öffnen Angriffen Tür und Tor. Wenn Sie entfernt werden, bestehen weniger Angriffsflächen und Sie haben weniger Programme zu pflegen.
    • Wenn eine komplexe Bedrohung über mehr als ein Netzwerkdienst verteilt wird, werden diese deaktiviert oder blockiert, bis ein Patch ausgeführt wurde.
    • Halten Sie Ihre Patches immer auf dem neuesten Stand, besonders auf den Computern, auf denen öffentliche Dienste angeboten werden und auf die durch eine Firewall über z. B. http, FTP, E-Mail und DNS-Dienste zugegriffen werden kann.
    • Richten Sie einen Passwortschutz ein. Komplexe Kennwörter erschweren den Einbruch in Kennwortdateien auf beschädigten Computern. Dies hilft Ihnen, die Folgen eines Computereinbruchs zu mindern.
    • Stellen Sie Ihren E-Mail-Server so ein, dass E-Mails, die Dateianhänge enthalten, über die häufig Viren verbreitet werden, wie Dateien mit der Endung .vbs, .bat, .exe, .pif und .scr, blockiert oder entfernt werden.
    • Isolieren Sie infizierte Computer schnell, um weiteren Schaden zu vermeiden. Führen Sie eine forensische Analyse durch und reparieren Sie den Computer mit Hilfe vertraulicher Medien.
    • Schulen Sie Ihre Angestellten daraufhin, keine Anhänge zu öffnen, wenn diese unaufgefordert eingesendet werden. Führen Sie ebenfalls keine Software aus, die aus dem Internet geladen wurde, wenn die Dateien zuvor nicht auf Viren geprüft wurden. Schon der einfache Besuch einer beschädigten Internetseite kann eine Infektion hervorrufen, wenn bestimmte Browserschäden nicht repariert werden.
    Entfernungsanweisungen

    Bitte zuerst lesen:
    Wenn Sie Windows 2000 oder XP ausführen, müssen Sie einen Patch für die Schwachstelle installieren, die im Microsoft Security Bulletin MS04-011 beschrieben wird (soweit Sie dies noch nicht getan haben). Wenn Sie dies nicht tun, ist es wahrscheinlich, dass Ihr Computer immer wieder erneut infiziert wird.


    Was zu tun, wenn der Computer herunterfährt, bevor Sie den Patch installieren oder das Entfernungsprogramm erhalten können?
    Diese Bedrohung kann verursachen, dass Windows immer wieder neu herunterfährt und neu startet. Dadurch können Sie am Installieren des Microsoft-Patches oder am Herunterladen des unten beschriebenen Programms gehindert werden.
      Hinweise:
    • Möglicherweise müssen Sie diese Schritte mehrmals versuchen, da Sie nur ungefähr 20 Sekunden haben, um die Schritte 3 bis 6 auszuführen.
    • Dieses funktioniert nicht auf Windows 2000.

    Um das Herunterfahren zu verhindern, führen Sie folgende Schritte durch:
    1. Trennen Sie den Computer vom Netzwerk/vom Internet. (Ziehen Sie wenn notwendig den Netzwerkstecker heraus.)
    2. Starten Sie den Computer neu.
    3. Sobald Windows geöffnet wird und Sie den Windows-Desktop sehen, klicken auf Sie Start > Ausführen.
    4. Geben Sie im Feld Öffnen Folgendes ein:

      cmd

      und drücken Sie die Eingabetaste.

    5. Geben Sie Folgendes ein:

      shutdown -i

      und drücken Sie die Eingabetaste.

    6. Das Dialogfeld Remotecomputer herunterfahren wird geöffnet. Führen Sie die folgenden Schritte aus:
      1. Klicken Sie auf Hinzufügen, geben Sie Ihren Computernamen in das Dialogfeld Computer hinzufügen ein und klicken Sie dann auf OK.
      2. Geben Sie im Feld Warnung anzeigen für 9999 ein.
      3. Geben Sie den folgenden Text im Feld Kommentar ein:

        Delay Lsass.exe shutdown.
      4. Klicken Sie auf OK.
    7. Stellen Sie die Netzwerk-/Internetverbindung wieder her.
    8. Stellen Sie eine Internetverbindung her und laden Sie den Patch herunter. Fahren Sie dann mit den unten beschriebenen Schritten fort.

    Wenn Sie Ihren Computer gepatcht und die Bedrohung entfernt haben, können Sie wieder die standardmäßige Anzeigezeit von 20 Sekunden für Warnungen aktivieren, wenn Sie wünschen.


    Entfernung mit dem W32.Sasser-Entfernungsprogramm
    Symantec Security Response hat ein Entfernungsprogramm entwickelt, um Infektionen von W32.Sasser.E.Worm zu entfernen. Benutzen Sie dieses Programm zuerst, da es die einfachste Methode ist, diese Bedrohung zu entfernen.

    Manuelle Entfernung
    Die Folgenden Anweisungen gelten für alle aktuellen und kürzlich erschienenen Virenschutzprodukte von Symantec, einschließlich der Produktlinien Symantec AntiVirus und Norton AntiVirus.
    1. Beenden Sie den schädlichen Prozess (Windows 2000/XP).
    2. Deaktivieren Sie die Systemwiederherstellung (Windows XP).
    3. Aktualisieren Sie Ihre Virusdefinitionen.
    4. Führen Sie eine vollständige Systemprüfung aus und löschen Sie alle Dateien, die als W32.Sasser.E.Worm entdeckt werden.
    5. Machen Sie die Änderung rückgängig, die an der Registrierung vorgenommen wurde.

    Detaillierte Informationen zu diesen Verfahren finden Sie in den folgenden Anweisungen.

    1. Beenden des schädlichen Prozesses
    Auf Windows 2000/XP-Computern müssen Sie zuerst den schädlichen Prozess beenden:
    1. Drücken Sie zugleich Strg+Alt+Entf.
    2. Klicken Sie auf Task-Manager.
    3. Klicken Sie auf die Registerkarte Prozesse.
    4. Doppelklicken Sie auf die Spaltenüberschrift Name, um die Prozesse alphabetisch zu ordnen.
    5. Durchsuchen Sie die Liste und suchen Sie nach den folgenden Prozessen:
      1. lsasss.exe
      2. alle Prozesse mit einem Namen, der aus vier oder fünf Ziffern gefolgt von _upload.exe besteht (z. B. 74354_upload.exe)
    6. Wenn Sie einen solchen Prozess finden, klicken Sie darauf und klicken Sie dann auf Prozess beenden.
    7. Schließen Sie den Task-Manager.

    2. Deaktivieren der Systemwiederherstellung (Windows XP)
    Wenn Sie mit Windows XP arbeiten, empfehlen wir Ihnen, die Option "Systemwiederherstellung" vorübergehend zu deaktivieren. Diese standardmäßig aktivierte Funktion wird in Windows XP verwendet, um auf Ihrem Computer beschädigte Dateien wiederherzustellen. Wenn ein Virus, Wurm oder Trojaner einen Computer infiziert, werden diese in der Systemwiederherstellung möglicherweise mitgesichert.

    Windows verhindert standardmäßig, dass die Systemwiederherstellung durch fremde Programme (einschließlich Antivirusprogramme) verändert wird. Daher können Bedrohungen im Systemwiederherstellungsordner nicht durch Antivirusprogramme entfernt werden. Als Ergebnis kann die Systemwiederherstellung eine infizierte Datei auf Ihrem Computer wiederherstellen, nachdem Sie die infizierten Dateien aus allen anderen Bereichen entfernt haben.

    Außerdem kann bei einer Virenprüfung eine Bedrohung im Systemwiederherstellungsordner entdeckt werden, selbst wenn Sie die Bedrohung entfernt haben.

    Anweisungen zum Deaktivieren der Systemwiederherstellung finden Sie in Ihrer Windows-Dokumentation oder im Dokument Wie wird die Systemwiederherstellung in Windows XP aktiviert oder deaktiviert.

    Hinweis: Wenn Sie das Entfernungsverfahren abgeschlossen haben und die Bedrohung erfolgreich entfernt wurde, sollten Sie die Systemwiederherstellung anhand der Anweisungen in den zuvor genannten Dokumenten wieder aktivieren.

    3. Aktualisieren der Virusdefinitionen
    Alle Virusdefinitionen werden von Symantec Security Response umfassenden Qualitätsprüfungen unterzogen, bevor sie auf unseren Servern zur Verfügung gestellt werden. Sie können die aktuellsten Virusdefinitionen auf zwei Arten erhalten:
    • Das Ausführen von LiveUpdate ist die einfachste Methode, um Virusdefinitionen zu beziehen: Diese Virusdefinitionen werden einmal wöchentlich auf den LiveUpdate-Servern abgelegt (üblicherweise mittwochs), soweit kein größerer Virusausbruch vorliegt. Um festzustellen, ob über LiveUpdate Definitionen für diese Bedrohung verfügbar sind, klicken Sie auf den Link Virusdefinitionen (LiveUpdate).
    • Laden Sie die Virusdefinitionen mit dem Intelligent Updater herunter. Virusdefinitionen des Intelligent Updaters werden an Geschäftstagen (montags bis freitags) veröffentlicht. Sie sollten von der Symantec Security Response-Website heruntergeladen und manuell installiert werden. Um festzustellen, ob über den Intelligent Updater Definitionen für diese Bedrohung verfügbar sind, klicken Sie auf den Link Virusdefinitionen (Intelligent Updater).

      Die Intelligent Updater-Virusdefinitionen sind verfügbar: Detaillierte Anweisungen erhalten Sie im Dokument Wie werden die Virusdefinitionsdateien mit dem Intelligent Updater aktualisiert.

    4. Prüfen des Computers und Löschen infizierter Dateien
    1. Starten Sie Ihr Symantec Antivirus-Programm und stellen Sie sicher, dass es zur Überprüfung aller Dateien konfiguriert ist.
    2. Führen Sie eine vollständige Systemprüfung durch.
    3. Wenn Dateien als mit W32.Sasser.E.Worm infiziert erkannt werden, klicken Sie auf Löschen.

    5. Rückgängigmachen der an der Registrierung vorgenommenen Anderung

    WARNUNG: Wir empfehlen Ihnen nachdrücklich, eine Sicherungskopie der Registrierung anzulegen, bevor Sie Änderungen daran vornehmen. Fehler bei der Änderung von Registrierungseinträgen können zu einem permanenten Datenverlust oder beschädigten Dateien führen. Bearbeiten Sie nur die angegebenen Schlüssel. Bitte beachten Sie das Dokument Eine Sicherheitskopie der Windows-Registrierung erstellen, bevor Sie fortfahren.
    1. Klicken Sie auf Start > Ausführen. Das Dialogfeld Ausführen wird geöffnet.
    2. Geben Sie regedit ein.

      Klicken Sie auf OK. Der Registrierungseditor wird geöffnet.

    3. Suchen Sie den Schlüssel

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    4. Löschen Sie diesen Wert im rechten Teilfenster:

      "lsasss.exe"="%Windir%\lsasss.exe"

       
    5. Schließen Sie den Registrierungseditor.



    Englische Version dieses Dokuments

    Klicken Sie hier, um die englische Version dieses Dokuments anzuzeigen.

    Hinweis: Bitte beachten Sie, dass aufgrund des Zeitbedarfs für die Übersetzung ins Deutsche das englische Originaldokument in der Zwischenzeit möglicherweise aktualisiert wurde, wodurch die deutsche Version inhaltlich abweichen kann.

    Bisherige Aktualisierungen:

    • 16. Mai 2004: Schritt 6 von Abschnitt "Was zu tun, wenn der Computer herunterfährt, bevor Sie den Patch installieren oder das Entfernungsprogramm erhalten können" aktualisert und verdeutlicht.
    • 14. Mai 2004: Informationen zu ICMP Echo-Anfrage hinzugefügt.
    • 10. Mai 2004: Link zum Entfernungsprogramm hinzugefügt.

    Zuletzt aktualisiert von: Sergei Shevchenko