Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Hier noch einmal eine Warnung an Alle bzgl. Sasser, vor alle

xafford / 34 Antworten / Baumansicht Nickles

Einige AV-Hersteller schreiben Sasser keine eigenen Schadfunktionen zu, das mag großteils stimmen. Allerdings gibt es einen unschönen Nebeneffekt.
Ich war gerade im Rechenzentrum zwecks Lagebesprechung und es gab interessante Informationen als bestätigung dessen, was ich in einem anderen Posting unten schon vermutet hatte:
Phatbot ist unterwegs und schleicht sich auch auf Sasser infizierte Rechner ein. Die (un)schöne nebenwirkung ist, daß Phatbot die Backdoor, die Sasser installiert in Form eines TFTP wieder schließt und Sasser unschädlich macht. In mehreren Studentenwohnheimen wurden Rechner untersucht, deren Besitzer nichts von einer Infektion merkten aus einem einfachen Grund:
Ursprünglich war eine erfolgreiche Sasser-Infektion. Wenn Sasser erfolgreich einen Rechner korrumpiert, so stürzt der LSASS-Dienst nicht ab, das passiert nur bei einer erfolglosen Infektion, wenn der Wurm den falschen Offset für den Exploit gewählt hat, da dieser bei 2000, XP und 2003 unterschiedlich liegt. Zielmlich direkt nach der Infektion schleuste sich ein Phatbot ein (der auch noch andere Einfallstore nutzt außer Backdoors von Sasser). Phatbot besietigte die Hintertür, es konnten keine weiteren Sasser-Angriffe mehr erfolgen, der User bemerkte also nichts von einer Infektion.
Also auch bei Leuten, die keinerlei Infektion bemerken und bei denen Stinger oder ihr Antivirentool nicht angeschlagen haben können nicht sicher sein, daß ihr System sauber ist, wenn sie den Patch von Microsoft nicht vor dem Wochenende eingespielt hatten.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
stoffi xafford „Hier noch einmal eine Warnung an Alle bzgl. Sasser, vor alle“
Optionen

Hi Xafford!

Danke für die zusätzlichen Info's. Ich finde nämlich, dass die bisher erhältlichen Informationen mehr als knapp gehalten waren.
Sowas wie Du jetzt berichtet hast, kommt da gar nicht drin vor.

Da ich den Patch erst gestern abend aufgespielt hab, sollte ich wohl auch mal gründlich nachschauen...?

Stoffi

mfg stoffi
bei Antwort benachrichtigen
xafford stoffi „Hi Xafford! Danke für die zusätzlichen Info s. Ich finde nämlich, dass die...“
Optionen

Hallo Stoffi,

die Info ist auch recht neu, mir auch, wie gesagt, gerade heute morgen erfahren. Ich wollte damit auch keine Panik schüren, gerade weil die Fälle wohl erst heute aufgetreten sind und noch sehr vereinzelt sind.
Es ist aber bestimmt kein Fehler sein System genau zu beobachten auf unregelmäßigkeiten, wobei das bei Phatbot äußert schwierig ist, das ist diesmal kein "Laientrojaner/Wurm", sondern wirklich sehr ausgefeilte Software, die sehr leicht zu modifizieren ist, sich selbst tarnt und diverse Prozesse ausschaltet nach gut dünken.
Was ein Anhaltspunkt sein kann ist, ob die Netzwerkkarte im sogenannten Promicuous Mode" ist, da Phatbot per default einen Sniffer installiert. Dies ist aber auch vage, da er wie gesagt einfach geändert werden kann, dank grafischem Tool. Immerhin steht er unter GPL ;o)...
Ganz hilfreich könnte unter Umständen auch der ProcessExplorer (procexp) von Sysinternal sein, da er mehr Prozesse anzeigt, als der Taskmanager von Windows, allerdings hat Phatbot auch ein Modul um seine Prozessid zu verstecken und ich weiß nicht, ob ProcExp sich daran stört.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
XPectIT xafford „Hallo Stoffi, die Info ist auch recht neu, mir auch, wie gesagt, gerade heute...“
Optionen

Danke für die Infos xafford.
Das klingt ja alles mehr nach rootkit als nach Wurm/Virus, irgendwie gefällt mir das wiedermal ganz und garnicht.

bei Antwort benachrichtigen
xafford XPectIT „Danke für die Infos xafford. Das klingt ja alles mehr nach rootkit als nach...“
Optionen

Ich finde auch, daß das Teil mehr nach Rootkit aussieht. In den Quellen nennen die Entwickler das Teil auch "Das schweizer Taschenmesser unter den Rootkits". Ich werde das Ding die Tage wohl mal auf einem System testen, interessiert mich schon ob und wie man ihm bei kommt, wobei das Ding bei der Modularität wohl schneller Mutiert, als man was dagegen unternehmen kann.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
REPI xafford „Ich finde auch, daß das Teil mehr nach Rootkit aussieht. In den Quellen nennen...“
Optionen

Hallo Xaff !

Gibt mal bitte einen Link zum Sourcecode !
;-)

repi

Es empfiehlt sich immer, etwas Linux im Hause zu haben.
bei Antwort benachrichtigen
xafford REPI „Hallo Xaff ! Gibt mal bitte einen Link zum Sourcecode ! - repi“
Optionen

LoL...Du weißt doch, Links zur eigenen Platte gehen nicht ;o)...

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
xafford Nachtrag zu: „LoL...Du weißt doch, Links zur eigenen Platte gehen nicht o ...“
Optionen

PS: mail mich mal an...

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
Gurus xafford „Hallo Stoffi, die Info ist auch recht neu, mir auch, wie gesagt, gerade heute...“
Optionen
bei Antwort benachrichtigen
Gurus Nachtrag zu: „kleine Info zu Phatbot“
Optionen

Ähh,
sollte ich mich Stealth machen?

bei Antwort benachrichtigen
xafford Gurus „kleine Info zu Phatbot“
Optionen

Nö, laß mal...ich les dich eigenltich ganz gern...(nee, das war kein Antrag) ;O)

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
Gurus xafford „kleine Info zu Phatbot“
Optionen

nun denn,
auch hier noch was:
http://www.heise.de/security/news/meldung/46943 ist zwar schon älter..

und für unsere AntivierenProgrammvertreter; von wegen "gut oder bescheiden":
http://www.pcwelt.de/news/viren_bugs/39734/


;~))
Gurus

bei Antwort benachrichtigen
stoffi xafford „Hallo Stoffi, die Info ist auch recht neu, mir auch, wie gesagt, gerade heute...“
Optionen

"Promicuous Mode"? Tut mir leid, falls das jetzt 'ne "dumme" Frage ist - aber was ist das, und wie kann ich es feststellen?
Leider noch nie gehört.

Stoffi

mfg stoffi
bei Antwort benachrichtigen
xafford stoffi „ Promicuous Mode ? Tut mir leid, falls das jetzt ne dumme Frage ist - aber was...“
Optionen

Normalerweise verwirft eine Netzwerkkarte alle Pakete, welche nicht für sie bestimmt sind, schaltet man das System aber in den Procisuous Mode, dann leitet sie alle Pakete an das Betriebssystem weiter und dies ist die Voraussetzung für einen Sniffer, um arbeiten zu können.
Es gibt spezielle Programme, die ein Netzwerk auf Anwesenheit eines Sniffers testen können, damit kann man einigen Schädlingen auf die Schliche kommen.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
Teletom xafford „Hier noch einmal eine Warnung an Alle bzgl. Sasser, vor alle“
Optionen

interessant interessant,

manchmal, wie zum Beispiel jetzt, macht es echt Spaß, in der EDV tätig zu sein.

Ist ja besser als Sherlock Holmes und Stealth- Modus nützt nichts, ist genauso wie "Stecks' Du Kopf in Sand"!

Teletom

bei Antwort benachrichtigen
Gurus Teletom „interessant interessant, manchmal, wie zum Beispiel jetzt, macht es echt Spaß,...“
Optionen

> interessant interessant,
manchmal, wie zum Beispiel jetzt, macht es echt Spaß, in der EDV tätig zu sein.
findest Du das wirklich? ich empfinde das als verschenkte Zeit!
man hat doch in der IT wirklich sinnvolleres zu tun.. oder auch weniger.. ..vielleicht mal die Kantiene putzen..

na warten wir mal auf die hoffentlich inteligenten Würmer etc. die auch UNIX/LINUX/MAC/WIN sowie managmentbare Hardware gleichzeitig komprementieren können..

ob dann der Spass wirklich Echt ist?

naja was solls!


MfG
Gurus

bei Antwort benachrichtigen
Teletom Gurus „ interessant interessant, manchmal, wie zum Beispiel jetzt, macht es echt Spaß,...“
Optionen

Irgendwie find ich das schon interessant, besonders die Milieu- Studien:

Welcher Typ Mensch fängt sich so einen Virus ein?

Erstaunt ist man, dass sich Leute den Virus einfangen, die von sich behaupten, dass sie Ahnung von der EDV haben.

Gruß Teletom

bei Antwort benachrichtigen
Gurus Teletom „Irgendwie find ich das schon interessant, besonders die Milieu- Studien: Welcher...“
Optionen

ja ich versteh Dich,
die einen Arbeiten, die anderen haben Ahnung, die letzteren verdienen wohl auch am meisten..


MfG
Gurus

bei Antwort benachrichtigen
The Wasp xafford „Hier noch einmal eine Warnung an Alle bzgl. Sasser, vor alle“
Optionen

Mal abgesehen von der Abenteuerschine: Gegen Sasser hilft eine einfache DTFW!
Wieder ein Beweis mehr, daß auf diesem Brett mehr getrollt wurde, als Fakten dargelegt. Selbst ein Windows-XP PC ohne SP1 und ohne irgendeinen Security Patch aber mit ordentlich eingestellter DTFW hat kein Problem mit Sasser und Co.
NiS ist kein Sicherheitskonzept? Vielleicht kein perfektes aber eins, das mittlerweile einige Gegenbeweise geliefert hat. Und eins, daß von MS unabhängig entwickelt wurde! NIS und Co. rule! ;)

Ende
bei Antwort benachrichtigen
xafford The Wasp „Mal abgesehen von der Abenteuerschine: Gegen Sasser hilft eine einfache DTFW!...“
Optionen

Hast Du dich im Thread verlaufen?

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
The Wasp xafford „Hast Du dich im Thread verlaufen?“
Optionen

Hilft eine DTFW gegen Sasser oder nicht? Wenn nicht, dann bitte eine Begründung.

Ende
bei Antwort benachrichtigen
xafford The Wasp „Hilft eine DTFW gegen Sasser oder nicht? Wenn nicht, dann bitte eine Begründung.“
Optionen

Ist mir egal, ob eine DTF gegen Sasser hilft oder nicht, es hat schlicht und ergreifend rein gar nichts mit dem Thema des Threads zu tun.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
The Wasp xafford „Ist mir egal, ob eine DTF gegen Sasser hilft oder nicht, es hat schlicht und...“
Optionen

Lölchen ;) Ich mag deine Postings gern lesen, weil sie nicht nur fachlich kompetent sind, sondern auch ausführlich erklären! aber manchmal finde ich es schon komisch, wenn du auf eine einfache Frage so ausweichend reagierst. Aber ok, es ist dein Thread.

NM_Gruß
The Wasp

Ende
bei Antwort benachrichtigen
Teletom The Wasp „Lölchen Ich mag deine Postings gern lesen, weil sie nicht nur fachlich...“
Optionen

Ich finde wie gesagt schon, dass, wenn es nicht anders geht wie beim Internetdirektzugriff, eine PersonalFirewall gegen Sasser-Blaster-artige Würmer schützt. Man braucht nur dafür zu sorgen, dass die entsprechenden Ports (z.B. 445) vom Internat initiierend sich so verhalten, als wär der dazugehörige Dienst nicht aktiv. Da Firewalls nur bestimmte wenige Standardports internetmäßig antwortgebend freigeben, schützt das bloße Verwenden einer PersonalFirewall.

Es gibt immer eine zeitliche Diskrepenz zwischen Erscheinen des Virus/Wurms und dem Erscheinen des Patches sowie der Virenschutz-Software-Signatur. In der Zeit ohne Patch und ohne Virensignatur schützt die PersonalFirewall bei dieser Art Virus und bei einem Internetdirektzugriff.

Besser ist natürlich ein LAN-Router oder noch besser ein LAN-Proxyserver, bei beiden ist eine Initiierung vom Internet aus im Standard nicht möglich, weil standardmäßig eine Ziel-LAN-Client-IP nicht zugeordnet ist. Ausnahme ist das sogenannte Port-Forwarding, aber das ist eine andere Geschichte, z.B. dass man mit Port 80 einen LAN- Webserver anspricht.

Gruß
Teletom

bei Antwort benachrichtigen
The Wasp Teletom „Ich finde wie gesagt schon, dass, wenn es nicht anders geht wie beim...“
Optionen

Danke Teletom.

Ende
bei Antwort benachrichtigen
Teletom The Wasp „Lölchen Ich mag deine Postings gern lesen, weil sie nicht nur fachlich...“
Optionen

Also ich habe noch von keinem Fall des Sasserbefalls gehört, wenn bei einer Internetdirektverbindung die Personalfirewall nicht falsch eingestellt ist und die Firewallsoftware nicht abgeschossen wurde.

gegoogelt:
etwas Namhaftes

PCTipp
Prävention:
Benutzer einer Hardware- oder Desktop-Firewall werden sich den Wurm kaum zuziehen.
Auch ein Einschalten der Internetverbindungs-Firewall
von Windows XP sollte die Angriffe fernhalten.

ZDNet Autralia
Basically, a desktop firewall should protect vulnerable systems
until the Microsoft security patch can be downloaded

computerhilfe.de Dr. Nope Global Moderator
Re: W32.Sasser ( LSA-Shell ) runterfahren usw.
« Antwort #14 am: 03.05.04, 22:11:26 »
durch den Onlinescan kannst du jetzt erstmal durchatmen denk ich. Und da du jetzt Updates drauf hast und ne Firewall (Virenscanner auch?) solltest du erstmal gewappnet sein. Bis zum nächsten Virus. Kommt immer drauf an wer schneller ist, der der seinen PC schützt oder die Viren-Schreiber.


PCWelt.de
Eine Firewall ist unverzichtbar, wenn Ihr PC sicher vor Angriffen aus dem Internet sein soll.

Heise.de
Wie bei allen Bedrohungen durch Internetwürmer gilt auch hier der Dreisatz der Sicherheit: Patch einspielen, Firewall aktivieren und dem Wurm mit Reinigungs-Tools zu Leibe rücken. ...
Es genügt somit, einen ungepatchten Rechner ohne Firewall ans Internet anzuschließen, um sich Sasser einzufangen. ...
Anwender von Windows XP können zum Schutz die eingebaute Firewall aktivieren.... Anwender von Windows 2000 sollten sich eine Personal Firewall installieren. ... Obwohl Sasser an vernünftig konfigurierten Firewall scheitern sollte, lehrt die Erfahrung mit Blaster, dass die Würmer beispielsweise über infizierte Notebooks auch Zugang zu internen Firmennetzen finden werden und dort dann ungehindert unter den oftmals ungepatchten Arbeitsplatzrechnern wüten.

tecchanel.de
Eine persönliche Firewall hilft, Angriffe über das interne und externe Netzwerk zu erkennen und abzuwehren.

u.v.a.m.

Wie sieht es denn mit der Namhaftigkeit bei der Gegenmeinung aus?

Gruß Teletom

bei Antwort benachrichtigen
GarfTermy The Wasp „Hilft eine DTFW gegen Sasser oder nicht? Wenn nicht, dann bitte eine Begründung.“
Optionen

@thewasp

ein beispiel...

blackice pc/server protection:

* der schädling kann nicht in´s system
* fremde prozesse würden im zweifel von der application protection geblockt
* nicht zugelassene anwendungen können weder installiert, noch ausgeführt werden

ein allheilmittel ist das trotzdem nicht - wie immer gilt, das nur die sinnvolle kombination von maßnahmen die sicherheit erhöht.

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
-IRON- The Wasp „Hilft eine DTFW gegen Sasser oder nicht? Wenn nicht, dann bitte eine Begründung.“
Optionen

ichichich *schnips schnips*

Vor der eigentlichen Antwort eine kleine Gegenfrage:
Glaubst du ernsthaft, dass angesichts der allgemein vorherrschenden positiven Meinung zu DTFWs all die vielen hunderttausend oder gar Millionen mit SASSER infizierten Rechner KEINE Desktopfirewall "drauf" hatten?

Nun die Antwort:
Nein, sie schützt nicht, denn ihr Schutz besteht darin, etwas im günstigsten Fall zu blockieren, was optimalerweise gar nicht blockiert werden müsste, da ja rechtzeitig gepatcht wurde.
Sie schützt nicht, da die große "Chance" besteht, dass der Anwender sie falsch konfiguriert oder die noch größere Chance, dass dies eine Malware (wie z.B. Gaobot) für ihn übernimmt.
Ihr Schutz ist nur unter besonders günstigen Bedingungen gegeben und schafft im Gegenzug so viele Möglichkeiten, diese Bedingungen zu verschlechtern (Scheinsicherheit->Unvorsichtigkeit, fehlerhafte Funktion, zusätzliche Lücken), dass dies schlicht zu unzuverlässig wäre, sie zu empfehlen.

Wer Trolle toleriert, toleriert Lügen.
bei Antwort benachrichtigen
GarfTermy -IRON- „ichichich schnips schnips Vor der eigentlichen Antwort eine kleine Gegenfrage:...“
Optionen

...ja iron. ja.

die meisten dtfw sind eher schlecht. ja. und einige davon mögen auch den sasser nicht geblockt haben...

bitte - tu´ mir den gefallen und teste selbst bid/server.

mein ergebnis war bisher immer - sehr zuverlässiger schutz, wenn sorgfältig konfiguriert.

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
The Wasp -IRON- „ichichich schnips schnips Vor der eigentlichen Antwort eine kleine Gegenfrage:...“
Optionen

Glaube ich ehrlich gesagt, kaum. Blaster hatte keiner meiner Kollegen, die eine DTFW nutzten. Das wird auch bei Sasser nicht anders sein.
Fakt ist, ist die DTFW richtig konfiguriert, schützt sie gegen Sasser und Co., auch wenn man als Privatanwender mal ein Update vergißt, was bei vielen nun mal eher die Regel ist. Ich hatte die Patcherei vor Blaster ja auch voll verpennt und da ist es eben schön, wenn einem der Rechner dank FW bedienbar bleibt. Und die Zeit von Patch bis Sasser war ja nun diesmal wirklich arg knapp...
Aber ich will das hier nicht zu einer DTFW Werbung machen, so toll finde ich die Dinger auch nicht. Ich tendiere bei DSL eher zu einem Router. Wenn ich die T-Onlinewerbung sehe, steht immer ein Gang zur ... an. ;)

Ende
bei Antwort benachrichtigen
Plazebo xafford „Hier noch einmal eine Warnung an Alle bzgl. Sasser, vor alle“
Optionen

Beim Blaster-Wurm konnte man ja dieses DCOM einfach deaktivieren. Kann man den LSA-Dienst auch irgendwie abschalten oder geht sonst nichts mehr?

bei Antwort benachrichtigen
GarfTermy Plazebo „Beim Blaster-Wurm konnte man ja dieses DCOM einfach deaktivieren. Kann man den...“
Optionen

"...Kann man den LSA-Dienst auch irgendwie abschalten oder geht sonst nichts mehr? ..."

richtig - ohne lsass.exe geht nichts.

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
xafford Plazebo „Beim Blaster-Wurm konnte man ja dieses DCOM einfach deaktivieren. Kann man den...“
Optionen

Abschalten geht leider nicht, dann wäre nicht einmal mehr eine Anmeldung am System möglich. Das wäre aber auch gar nicht nötig, wenn Microsoft endlich kapieren würde, daß es möglich sein sollte, daß nicht jeder Dienst auf einer Netzwerkschnittstelle horchen muß und man dementsprechend Bindungen setzen und entfernen könnte.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
xafford Nachtrag zu: „Hier noch einmal eine Warnung an Alle bzgl. Sasser, vor alle“
Optionen
http://www.heise.de/newsticker/meldung/47134

Man kann sagen was man will, aber die Schöpfer von dem Teil sind leider gut.
Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
The Wasp xafford „Wird wohl ein verbreitetes Phänomen“
Optionen

Jetzt reiten die Dinger schon aufeinanderer rum, ist das eine Viecherei...
Aber genau das hat man eigentlich immer schon angekündigt: #include"sasser" int lets_ride_darling() return ihr system wird in 60 sec terminiert. Das ist die logische Fortsetzung von C und Co. ;)

Ende
bei Antwort benachrichtigen