Community-of-Darkness

Okay,

ist zwar schon ein paar Tage alt, aber trotzdem mal für alle hier die Info, weil ich schon seit Tagen am rumkrebsen bin um das Scheißteil wieder runterzukriegen. Sowas passiert, wenn man drei Wochen weg ist und die Virendefinitionen nicht up to date sind.




Wurm Sasser dringt über Windows-Sicherheitslücke ein

Man musste kein Prophet sein, um nach den letzten Veröffentlichungen von Security Advisories zu Sicherheitslücken in Windows einen Wurm vorauszusagen, der genau über diese Lücken in Systeme eindringt. Solch ein Wurm ist nun aufgetaucht. Der Schädling, den die Hersteller von Antivirensoftware Sasser nennen, nutzt einen Fehler im Local Security Authority Subsystem Service (LSASS), der unter anderem zur Authentifizierung von Systemen in Netzwerken dient. Durch den Fehler ist es möglich eigenen Code in verwundbare Systeme einzuschleusen. Bedroht sind nicht gepatchte Windows-2000 und XP-Systeme.

Sasser erzeugt zufällige IP-Adressen und nimmt mit den darunter erreichbaren Systemen Kontakt auf. In verwundbare Rechner injiziert er Code, der den eigentliche Wurm von bereits infizierten Systemen nachlädt. Auf befallenen Systemen läuft dazu auf Port 5554 ein FTP-Server. Des Weiteren soll der Wurm auf anderen TCP-Ports ab 1068 auf eingehende Verbindungen lauschen. Sasser verursacht zudem – wie seinerzeit schon der Wurm Blaster/Lovsan – manchmal einen Absturz des LSA-Dienstes, was zum Reboot des Rechners durch den NT-Autoritätsdienst innerhalb von 60 Sekunden führt. Abhilfe schafft ein "shutdown -a" in der Windows-Eingabeaufforderung vor Ablauf dieser Zeitspanne. Eine echte Schadroutine hat Sasser nicht, auch scheint die Verbreitung des Schädlings noch recht gering zu sein. Anwender sollten aber dennoch den Patch von Microsoft einspielen

Quelle: http://www.heise.de/security/news/meldung/47037




Und Nummer zwei:





Weitere Informationen zu Sasser-Würmern

Die Sasser-Wurm-Familie hat sich um ein weiteres Mitglied vergrößert: Sasser.D. Die neue Variante sucht nach anderen Systemen, indem sie bis zu 30 Ping-Pakete (ICMP Echo-Request) pro Sekunde versendet. Nach Angaben des Internet Storm Centers greift Sasser.D auch auf Multicast-Scans zur Suche zurück, was in einigen Netzwerken -- aufgrund der hohen Last -- wohl schon zu instabilen Routern geführt hat. Auch die anderen Sasser-Varianten erhöhen die Netzlast signifikant, wenn sie auf die Suche nach verwundbaren Rechnern gehen: Bis zu 1000 Scan-Threads können gleichzeitig laufen.

Der E-Mail-Wurm Netsky.AC versucht derweil, die Sorge vor Wurmangriffen auszunutzen und tarnt sich unter anderem als Removal-Tool für Sasser.B. Als Absender erscheint dann ein Hersteller von Antivirensoftware. Anwender sollten solche Mails sofort löschen, die Hersteller versenden niemals derartige Tools, Patches oder Signaturen per E-Mail.

Systeme, die bereits mit einer Sasser-Variante infiziert sind, laufen Gefahr, noch für weitere Schädlinge als Wirt zu dienen. Beispielsweise dringt Phatbot über dieselbe Sicherheitslücke in Windows-2000 und XP-Systeme ein. Zudem öffnet Sasser Hintertüren, über die zusätzliche Würmer und Trojaner eindringen können. Bei einer Mehrfachinfektion nützen auch die Removal-Tools der Hersteller nichts mehr. Am sichersten ist dann nur noch die Neuinstallation des Betriebssystems.

Zu ersten Ausfällen hat der Wurm schon geführt, allerdings nur indirekt: Die Deutsche Post hat nach Angaben der hannoverschen Neuen Presse aus Angst vor dem Wurm die Sicherheitsrichtlinie der Firewall verschärft. Das hielt dann aber nicht nur den Wurm außen vor, sondern auch die Rechner für Bankgeschäfte in den Postfilialen. Geldauszahlungen konnten nur noch per Formular verbucht werden

Quelle: http://www.heise.de/security/news/meldung/47097



So, das hätten wir. Kommen wir jetzt zu meiner Frage:
Wieso krieg ich das Scheißteil nicht runter, trotz Removal-Tool, Komplettem System-Scan und nigelnagelneuen MIcroscheiß-Patchs?
Und: Was für ein Prozess ist klwin.exe?


Habt Dank für Antworten, mein Rechner läuft sonst Gefahr aus dem Fenster geworfen zu werden.


QIK

@ROB: Tja, is vielleicht gut, dass er auf 98 nix auslöst, aber anfallen kann er dich schon. Es passiert zwar nix, aber bei laufender I-Net-Verbindung verbreitest du ihn weiter.

Aber glücklich kannste dich trotzdem schätzen, dass bei dir wenigstens nix passiert.

@Lulu: Mein Prob war nich mal, dass er dauernd runtergefahren hat. Das war komisch, ich hatte n schwarzen Bildschirm mit normalem Mauszeiger drauf. Und immer wenn ich über den Tasmanager den Prozess klwin.exe beendet habe, war mein Desktop wieder da. Sehr suspekt.

Ich bin ihn jetzt übrigens los.

Meine Verfahrensweise war folgenden:

Als erstes hab ich die Systemwiederherstellung auf allen Laufwerken deaktiviert, weil XP ja sonst die Änderung von Norton merkt und alles rückgängig macht, also aus.
Dann hab ich meine Virendefinitionen auf den neuesten Stand gebracht.
Dann hab ich mir die komischen XP-Patchs gesaugt. Das wichtigste war dabei XP-Hotfix KB835732.
Dann hab ich das Symantec Removal-Tool drüber laufen lassen, das hat dann glaub 33 Dateien gelöscht und zwei Registry-Einträge entfernt. Dann hab ich nochmal nach den Dateien gesucht, die der Wurm erstellen soll. Die waren nimmer da.
Dann hab ich neu gebootet, und schwupps war wieder alles beim alten. Wieder dauernd Virenwarnungen und scheiß schwarzer Monitor, blaschwall.

Dann hab ich das Removal-Tool nochma laufen lassen, das hat aber nix mehr gefunden, komischerweise.
Dann hab ich n Safeboot gemacht und das Teil nochmal laufen lassen, da hat er dann nochmal 33 Dateien gelöscht. Dann hab ich wieder normal gebootet, n kompletten System-Scan gemacht und war virenfrei.


In Kurzform wie man es richtig machen sollte:
Systemwiederherstellung deaktivieren
Virendefinitionen updaten
XP-Patch saugen
Removal-Tool saugen
Safeboot machen, also abgesicherten Modus laufen lassen
Removal-Tool benutzen
Normal booten
Fertig.

Danach kann man die Wiederherstellung auch wieder anmachen glaub ich.

Auf jeden Fall bin ich jetzt glücklich Wurmfrei.


QIK