Wurm "Sasser" frisst sich durchs Netz

Wie erwartet ist der Wurm "Sasser", der sich seit Samstag verbreitet, mit dem Beginn der Arbeitswoche besonders rührig, weil mehr potenzielle Opfer online sind.

Seit dem Wochenende habe das Virus vermutlich bereits sechs Millionen Rechner angegriffen, schätzt Mikko Hyppoenen von der Firma F-Secure. Darunter seien auch mehrere internationale Großunternehmen, die ihre Dienste teilweise hätten einstellen müssen.

Bei einigen Weltkonzernen, deren Namen Hyppoenen nicht nennen wollte, habe Sasser bedeutende Schäden angerichtet. Zudem droht weiterer Schaden durch die B-Version des neuen Wurms.

In Taiwan lähmte der Wurm ein Drittel der Postfilialen. Rund 1.600 Arbeitsplätze in den 430 Büros konnten nach Angaben des staatlichen Unternehmens nicht benutzt werden. In Finnland schloss die drittgrößte Bank des Landes, Sampo, ihre 130 Zweigstellen.

128 Prozesse suchen neue Opfer

Einer exakten Zählung der Infektionsraten entzieht sich der Wurm, der es schon auf drei Varianten bringt, allerdings dadurch, dass er sich nicht via E-Mail verbreitet, sondern ungeschützte Computer direkt attackiert.

Eine Schadensroutine im engeren Sinn bringt Sasser zwar nicht mit, eine Infektion kann aber zum Absturz des Computers durch Überlastung und außerdem zu einer endlosen Reboot-Schleife führen.

Diagnostizieren lässt sich ein Sasser-Befall laut Ikarus Software durch die Existenz der Datei "avserver.exe" im Windows-Verzeichnis sowie den zusätzlichen Task "avserve.exe" im Taskmanager.

Hat der Wurm einen PC erfolgreich infiziert, startet er 128 Prozesse, die alle nach zufällig generierten IP-Adressen suchen, an die sich der Wurm weiterschicken möchte.

Dies kostet derart viel Prozessor-Leistung, dass selbst leistungsstarke PCs beinahe unbedienbar werden.

Alle paar Minuten ein Neustart

Hinweise für einen Sasser-Befall sind ein File namens "win.log" oder "win2.log" auf der C-Partition["C:\win.log" oder "C:\win2.log"] und Traffic, der über die TCP-Ports 445, 5554 sowie 9996 generiert wird.

Klar erkennbar ist der Sasser-Wurm schließlich durch die Meldung: "Message: The System process "C:\WINNT\system32\lsass.exe" terminated unexpetetly with status code 0. The system will now shot down and restart."

Dann zählt der Wurm einen "Countdown" von 60 Sekunden abwärts und verursacht den Neustart der infizierten Maschine. Dieses Spiel wiederholt alle paar Minuten nach dem Reboot.

WindowsXP User können zusätzlich die Nachricht "LSA Shell [Export Version] has encountered a problem and needs to close. We are sorry for the inconvenience." auf ihrem Bildschirm vorfinden.

Sasser entfernen

Ist der Rechner noch nicht ganz in die Knie gezwungen, geht die Desinfektion recht einfach:

Entweder greift man auf ein kostenloses Tool zur Entfernung von Sasser eines bekannten Anti-Viren-Herstellres zurück, oder entfernt den Wurm in eingen Schritten selbst.

Dazu muss zuerst immer das Patch aus dem Security Bulletin MS04-011 installiert, danach die Datei "avserve.exe" aus dem Windows-Verzeichnis entfernt werden.

Anschließend muss der Registry-Eintrag des Wurms gelöscht und schließlich der Rechner neu gestartet werden.

Ist der befallene Computer total überlastet und in der Reboot-Schleife gefangen, dann muss er zum Entfernen von Sasser zunächst mit der F8-Taste im abgesicherten Modus neugestartet werden.

Suche

Suchbegriff

Wenn Sie mehrere Suchbegriffe verwenden, können Sie diese mit so genannten Boolschen Operatoren verknüpfen.

Wurm "Sasser" frisst sich durchs Netz

128 Prozesse suchen neue Opfer

Alle paar Minuten ein Neustart

Sasser entfernen