BlackBoard (http://www.black-board.net/index.php)
- Computerecke (http://www.black-board.net/board.php?boardid=30)
-- Netzwerke/Telekommunikation (http://www.black-board.net/board.php?boardid=2)
--- Warnung vor Sasser Wurm (http://www.black-board.net/thread.php?threadid=17065)

Geschrieben von phlox81 am 01.05.2004 um 15:17:

  Warnung vor Sasser Wurm

Moin,

Ich möchte hiermit alle Windows user vor Sasser warnen,
er verbreitet sich ähnlich wie lovesan, benutz aber eine andere
Sicherheitslücke.

http://www.heise.de/newsticker/result.xhtml?url=/newsticker/meldung/47037&words=Sasser

Mich hats schon erwischt unglücklich

Devil


Geschrieben von inde am 01.05.2004 um 17:15:

 

N Kumpel von mir hattn auch schon


Geschrieben von morpheuis am 01.05.2004 um 17:49:

 

Mal schauen welche Firmen der hier schadet unglücklich


Geschrieben von Champus am 01.05.2004 um 18:04:

 

Der größte Schaden entsteht nicht bei den Firmen sondern bei Privatleuten ... und meine Windows Longhorn kiste hats auch schon erwischt ...


Geschrieben von phlox81 am 01.05.2004 um 18:45:

 

Zitat:
Original von .r|mda³
Der größte Schaden entsteht nicht bei den Firmen sondern bei Privatleuten ... und meine Windows Longhorn kiste hats auch schon erwischt ...


Nur wenn die Firmen gepatcht sind.
Wenn ein Produktives System ausfällt, oder leute nicht arbeiten
können, weil ihre PC infiziert sind, dann geht der schaden schnell
in die Millionen. Das will ich mal bei einem Privaten sehen...

Devil


Geschrieben von morpheuis am 01.05.2004 um 18:52:

 

Wieso Privat leute?

Okay wenn man ein Referat gespeichert hat aber das kann man ja am Lehrer sagen.

Bei einer Firma weniger.

Vorallem wenn noch Konkurrenz besteht.

Kunden warten nicht lange sondern die suchen dann andere Firmen


Geschrieben von hotspot am 01.05.2004 um 19:20:

 

Verstehe ich das richtig, das der Wurm ein unkontrollierbares Runterfahren des Rechner's bewirkt?


Geschrieben von Sypher am 01.05.2004 um 19:27:

 

ne ich glaub den den du meinst ist ein sober aber das kannst mit netstat -s abrechen(glaub ich)
Gruss Sypher

ps: wie sieht ddie wurm datei aus und wie heißt die?


Geschrieben von Romanticus am 02.05.2004 um 00:27:

 

nur ne blöde frage...

sagt mal, hab ich paranoja, oder ist es noch jemandem passiert, dass er nach nem klick auf den link ganz oben den scheiß virus hatte? ich hab sonst nichts downloaded, hatte keine mails bekommen, hab die kerio-firewall laufen und personal av der regelmäßig updatet wird.. irgendwie blick ich da nicht mehr durch... traurig


Geschrieben von phlox81 am 02.05.2004 um 00:32:

 

Zitat:
Original von Romanticus
nur ne blöde frage...

sagt mal, hab ich paranoja, oder ist es noch jemandem passiert, dass er nach nem klick auf den link ganz oben den scheiß virus hatte? ich hab sonst nichts downloaded, hatte keine mails bekommen, hab die kerio-firewall laufen und personal av der regelmäßig updatet wird.. irgendwie blick ich da nicht mehr durch... traurig


klar der Virus geht von heise aus *fg*

Nein im ernst, der Virus verbreitet sich Userunabhängig, d.h. er brauch niemanden
der ihn 'installiert', sondern nutzt dazu eine Sicherheitslücke aus, die
in Windows eingebaut wurde (ein weiteres Feature großes Grinsen ), dadurch installiert
er sich selbstständig auf nicht gepatchten Systemen, und generiert daraufhin
eine Reihenfolge an Zufalls IPs, an die er sich weiter schickt.

Devil


Geschrieben von Romanticus am 02.05.2004 um 00:39:

 

es war mir eigentlich schon klar, dass er nicht von heise.de kommen konnte, deswegen auch der witz mit der paranoja smile
naja, zum glück macht das ding keinen sche** und lässt sich ziemlich einfach beseitigen smile


Geschrieben von hotspot am 02.05.2004 um 00:43:

 

LOL!

Heisse verteilt Würmer. Hab ich es mir doch gedacht.

Der bekannteste Virus wurde übrigens von Microsoft programmirt und heist Windows großes Grinsen


Geschrieben von phlox81 am 02.05.2004 um 00:58:

 

Zitat:
Original von hotspot
LOL!

Heisse verteilt Würmer. Hab ich es mir doch gedacht.

Der bekannteste Virus wurde übrigens von Microsoft programmirt und heist Windows großes Grinsen


Windows ist kein Virus, sondern eine Sammlung von Featuren.

Devil


Geschrieben von sleeepy am 02.05.2004 um 01:25:

 

Zitat:
Original von Sypher
ps: wie sieht ddie wurm datei aus und wie heißt die?


http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.worm.html


Zitat:
Copies itself as %Windir%\avserve.exe


Zitat:
Adds the value:
"avserve.exe"="%Windir%\avserve.exe"
to the registry key:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
so that the worm runs when you start Windows.


Zitat:
Uses the AbortSystemShutdown API to hinder attempts to shut down or restart the computer.


Zitat:
Starts an FTP server on TCP port 5554. This server is used to spread the worm to other hosts.


ui...die arme leitung...
Zitat:
Attempts to connect to randomly-generated IP addresses on TCP port 445. If a connection is made to a computer, the worm sends shellcode to that computer which may cause it to run a remote shell on TCP port 9996. The worm then uses the shell to cause the computer to connect back to the FTP server on port 5554 and retrieve a copy of the worm. This copy will have a name consisting of 4 or 5 digits followed by _up.exe (eg 74354_up.exe).

The IP addresses generated by the worm are distributed as follows:
50% are completely random
25% have the same first octet as the IP address of the infected host
25% have the same first and second octet as the IP address of the infected host.

The worm starts 128 threads that scan randomly-chosen IP addresses. This demands a lot of CPU time and as a result an infected computer may be so slow as to be barely useable.



und da ich den download nich sofort gefunden hab, hier noch die download page:

http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx


Geschrieben von Genio am 02.05.2004 um 10:25:

 

moin

das hört sich ja alles nicht gut an unglücklich

koennte mir einer sagen wo ich die patches saugen kann?, und so neben bei , die ports über die der wurm geht, kann man die nicht einfach sperren?



mfg the Genio


Geschrieben von sleeepy am 02.05.2004 um 10:49:

 

wer lesen kann is klar im vorteil:

Zitat:
Original von sleeepy
und da ich den download nich sofort gefunden hab, hier noch die download page:

http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx


Geschrieben von Genio am 02.05.2004 um 10:55:

 

Zitat:
Original von sleeepy
wer lesen kann is klar im vorteil:

Zitat:
Original von sleeepy
und da ich den download nich sofort gefunden hab, hier noch die download page:

http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx


moin

upsi das muss ich gänzlich übersehen haben ^^

sorry , aber danke für den link


mfg the Genio


Geschrieben von Milchbubi am 02.05.2004 um 11:09:

 

gibts noch kein remove tool von irgendeiner sicherheitsfirma ??
auser microsoft


Geschrieben von sleeepy am 02.05.2004 um 11:16:

 

Zitat:
Original von Pl4y3r
gibts noch kein remove tool von irgendeiner sicherheitsfirma ??
auser microsoft


doch:

http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.removal.tool.html


Geschrieben von HeaD am 02.05.2004 um 18:32:

 

Na super, genau in dem Moment wo ich das hier lese bekomm ich grad die Box das Windows gleich runterfährt lol.. +nerv+ was ich nich ganz verstehe, wenn der blöde Wurm sich genauso verbreitet wie der Lovesun, über die gleiche Sicherheitslücke, dann versteh ich nicht wieso ich dann diesen Scheisswurm hier grad bekomm +grummel+


Forensoftware: Burning Board 2.3.6, entwickelt von WoltLab GmbH