Einige AV-Hersteller schreiben Sasser keine eigenen Schadfunktionen zu, das mag großteils stimmen. Allerdings gibt es einen unschönen Nebeneffekt.
Ich war gerade im Rechenzentrum zwecks Lagebesprechung und es gab interessante Informationen als bestätigung dessen, was ich in einem anderen Posting unten schon vermutet hatte:
Phatbot ist unterwegs und schleicht sich auch auf Sasser infizierte Rechner ein. Die (un)schöne nebenwirkung ist, daß Phatbot die Backdoor, die Sasser installiert in Form eines TFTP wieder schließt und Sasser unschädlich macht. In mehreren Studentenwohnheimen wurden Rechner untersucht, deren Besitzer nichts von einer Infektion merkten aus einem einfachen Grund:
Ursprünglich war eine erfolgreiche Sasser-Infektion. Wenn Sasser erfolgreich einen Rechner korrumpiert, so stürzt der LSASS-Dienst nicht ab, das passiert nur bei einer erfolglosen Infektion, wenn der Wurm den falschen Offset für den Exploit gewählt hat, da dieser bei 2000, XP und 2003 unterschiedlich liegt. Zielmlich direkt nach der Infektion schleuste sich ein Phatbot ein (der auch noch andere Einfallstore nutzt außer Backdoors von Sasser). Phatbot besietigte die Hintertür, es konnten keine weiteren Sasser-Angriffe mehr erfolgen, der User bemerkte also nichts von einer Infektion.
Also auch bei Leuten, die keinerlei Infektion bemerken und bei denen Stinger oder ihr Antivirentool nicht angeschlagen haben können nicht sicher sein, daß ihr System sauber ist, wenn sie den Patch von Microsoft nicht vor dem Wochenende eingespielt hatten.
Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge
Hi Xafford!
Danke für die zusätzlichen Info's. Ich finde nämlich, dass die bisher erhältlichen Informationen mehr als knapp gehalten waren.
Sowas wie Du jetzt berichtet hast, kommt da gar nicht drin vor.
Da ich den Patch erst gestern abend aufgespielt hab, sollte ich wohl auch mal gründlich nachschauen...?
Stoffi
Hallo Stoffi,
die Info ist auch recht neu, mir auch, wie gesagt, gerade heute morgen erfahren. Ich wollte damit auch keine Panik schüren, gerade weil die Fälle wohl erst heute aufgetreten sind und noch sehr vereinzelt sind.
Es ist aber bestimmt kein Fehler sein System genau zu beobachten auf unregelmäßigkeiten, wobei das bei Phatbot äußert schwierig ist, das ist diesmal kein "Laientrojaner/Wurm", sondern wirklich sehr ausgefeilte Software, die sehr leicht zu modifizieren ist, sich selbst tarnt und diverse Prozesse ausschaltet nach gut dünken.
Was ein Anhaltspunkt sein kann ist, ob die Netzwerkkarte im sogenannten Promicuous Mode" ist, da Phatbot per default einen Sniffer installiert. Dies ist aber auch vage, da er wie gesagt einfach geändert werden kann, dank grafischem Tool. Immerhin steht er unter GPL ;o)...
Ganz hilfreich könnte unter Umständen auch der ProcessExplorer (procexp) von Sysinternal sein, da er mehr Prozesse anzeigt, als der Taskmanager von Windows, allerdings hat Phatbot auch ein Modul um seine Prozessid zu verstecken und ich weiß nicht, ob ProcExp sich daran stört.
Danke für die Infos xafford.
Das klingt ja alles mehr nach rootkit als nach Wurm/Virus, irgendwie gefällt mir das wiedermal ganz und garnicht.
Ich finde auch, daß das Teil mehr nach Rootkit aussieht. In den Quellen nennen die Entwickler das Teil auch "Das schweizer Taschenmesser unter den Rootkits". Ich werde das Ding die Tage wohl mal auf einem System testen, interessiert mich schon ob und wie man ihm bei kommt, wobei das Ding bei der Modularität wohl schneller Mutiert, als man was dagegen unternehmen kann.
Hallo Xaff !
Gibt mal bitte einen Link zum Sourcecode !
;-)
repi
LoL...Du weißt doch, Links zur eigenen Platte gehen nicht ;o)...
PS: mail mich mal an...
Ähh,
sollte ich mich Stealth machen?
Nö, laß mal...ich les dich eigenltich ganz gern...(nee, das war kein Antrag) ;O)
nun denn,
auch hier noch was:
http://www.heise.de/security/news/meldung/46943 ist zwar schon älter..
und für unsere AntivierenProgrammvertreter; von wegen "gut oder bescheiden":
http://www.pcwelt.de/news/viren_bugs/39734/
;~))
Gurus
"Promicuous Mode"? Tut mir leid, falls das jetzt 'ne "dumme" Frage ist - aber was ist das, und wie kann ich es feststellen?
Leider noch nie gehört.
Stoffi
Normalerweise verwirft eine Netzwerkkarte alle Pakete, welche nicht für sie bestimmt sind, schaltet man das System aber in den Procisuous Mode, dann leitet sie alle Pakete an das Betriebssystem weiter und dies ist die Voraussetzung für einen Sniffer, um arbeiten zu können.
Es gibt spezielle Programme, die ein Netzwerk auf Anwesenheit eines Sniffers testen können, damit kann man einigen Schädlingen auf die Schliche kommen.
interessant interessant,
manchmal, wie zum Beispiel jetzt, macht es echt Spaß, in der EDV tätig zu sein.
Ist ja besser als Sherlock Holmes und Stealth- Modus nützt nichts, ist genauso wie "Stecks' Du Kopf in Sand"!
Teletom
> interessant interessant,
manchmal, wie zum Beispiel jetzt, macht es echt Spaß, in der EDV tätig zu sein.
findest Du das wirklich? ich empfinde das als verschenkte Zeit!
man hat doch in der IT wirklich sinnvolleres zu tun.. oder auch weniger.. ..vielleicht mal die Kantiene putzen..
na warten wir mal auf die hoffentlich inteligenten Würmer etc. die auch UNIX/LINUX/MAC/WIN sowie managmentbare Hardware gleichzeitig komprementieren können..
ob dann der Spass wirklich Echt ist?
naja was solls!
MfG
Gurus
Irgendwie find ich das schon interessant, besonders die Milieu- Studien:
Welcher Typ Mensch fängt sich so einen Virus ein?
Erstaunt ist man, dass sich Leute den Virus einfangen, die von sich behaupten, dass sie Ahnung von der EDV haben.
Gruß Teletom
ja ich versteh Dich,
die einen Arbeiten, die anderen haben Ahnung, die letzteren verdienen wohl auch am meisten..
MfG
Gurus
Mal abgesehen von der Abenteuerschine: Gegen Sasser hilft eine einfache DTFW!
Wieder ein Beweis mehr, daß auf diesem Brett mehr getrollt wurde, als Fakten dargelegt. Selbst ein Windows-XP PC ohne SP1 und ohne irgendeinen Security Patch aber mit ordentlich eingestellter DTFW hat kein Problem mit Sasser und Co.
NiS ist kein Sicherheitskonzept? Vielleicht kein perfektes aber eins, das mittlerweile einige Gegenbeweise geliefert hat. Und eins, daß von MS unabhängig entwickelt wurde! NIS und Co. rule! ;)
Hast Du dich im Thread verlaufen?
Hilft eine DTFW gegen Sasser oder nicht? Wenn nicht, dann bitte eine Begründung.
Ist mir egal, ob eine DTF gegen Sasser hilft oder nicht, es hat schlicht und ergreifend rein gar nichts mit dem Thema des Threads zu tun.
Lölchen ;) Ich mag deine Postings gern lesen, weil sie nicht nur fachlich kompetent sind, sondern auch ausführlich erklären! aber manchmal finde ich es schon komisch, wenn du auf eine einfache Frage so ausweichend reagierst. Aber ok, es ist dein Thread.
NM_Gruß
The Wasp
Ich finde wie gesagt schon, dass, wenn es nicht anders geht wie beim Internetdirektzugriff, eine PersonalFirewall gegen Sasser-Blaster-artige Würmer schützt. Man braucht nur dafür zu sorgen, dass die entsprechenden Ports (z.B. 445) vom Internat initiierend sich so verhalten, als wär der dazugehörige Dienst nicht aktiv. Da Firewalls nur bestimmte wenige Standardports internetmäßig antwortgebend freigeben, schützt das bloße Verwenden einer PersonalFirewall.
Es gibt immer eine zeitliche Diskrepenz zwischen Erscheinen des Virus/Wurms und dem Erscheinen des Patches sowie der Virenschutz-Software-Signatur. In der Zeit ohne Patch und ohne Virensignatur schützt die PersonalFirewall bei dieser Art Virus und bei einem Internetdirektzugriff.
Besser ist natürlich ein LAN-Router oder noch besser ein LAN-Proxyserver, bei beiden ist eine Initiierung vom Internet aus im Standard nicht möglich, weil standardmäßig eine Ziel-LAN-Client-IP nicht zugeordnet ist. Ausnahme ist das sogenannte Port-Forwarding, aber das ist eine andere Geschichte, z.B. dass man mit Port 80 einen LAN- Webserver anspricht.
Gruß
Teletom
Danke Teletom.
Also ich habe noch von keinem Fall des Sasserbefalls gehört, wenn bei einer Internetdirektverbindung die Personalfirewall nicht falsch eingestellt ist und die Firewallsoftware nicht abgeschossen wurde.
gegoogelt:
etwas Namhaftes
PCTipp
Prävention:
Benutzer einer Hardware- oder Desktop-Firewall werden sich den Wurm kaum zuziehen.
Auch ein Einschalten der Internetverbindungs-Firewall
von Windows XP sollte die Angriffe fernhalten.
ZDNet Autralia
Basically, a desktop firewall should protect vulnerable systems
until the Microsoft security patch can be downloaded
computerhilfe.de Dr. Nope Global Moderator
Re: W32.Sasser ( LSA-Shell ) runterfahren usw.
« Antwort #14 am: 03.05.04, 22:11:26 »
durch den Onlinescan kannst du jetzt erstmal durchatmen denk ich. Und da du jetzt Updates drauf hast und ne Firewall (Virenscanner auch?) solltest du erstmal gewappnet sein. Bis zum nächsten Virus. Kommt immer drauf an wer schneller ist, der der seinen PC schützt oder die Viren-Schreiber.
PCWelt.de
Eine Firewall ist unverzichtbar, wenn Ihr PC sicher vor Angriffen aus dem Internet sein soll.
Heise.de
Wie bei allen Bedrohungen durch Internetwürmer gilt auch hier der Dreisatz der Sicherheit: Patch einspielen, Firewall aktivieren und dem Wurm mit Reinigungs-Tools zu Leibe rücken. ...
Es genügt somit, einen ungepatchten Rechner ohne Firewall ans Internet anzuschließen, um sich Sasser einzufangen. ...
Anwender von Windows XP können zum Schutz die eingebaute Firewall aktivieren.... Anwender von Windows 2000 sollten sich eine Personal Firewall installieren. ... Obwohl Sasser an vernünftig konfigurierten Firewall scheitern sollte, lehrt die Erfahrung mit Blaster, dass die Würmer beispielsweise über infizierte Notebooks auch Zugang zu internen Firmennetzen finden werden und dort dann ungehindert unter den oftmals ungepatchten Arbeitsplatzrechnern wüten.
tecchanel.de
Eine persönliche Firewall hilft, Angriffe über das interne und externe Netzwerk zu erkennen und abzuwehren.
u.v.a.m.
Wie sieht es denn mit der Namhaftigkeit bei der Gegenmeinung aus?
Gruß Teletom
@thewasp
ein beispiel...
blackice pc/server protection:
* der schädling kann nicht in´s system
* fremde prozesse würden im zweifel von der application protection geblockt
* nicht zugelassene anwendungen können weder installiert, noch ausgeführt werden
ein allheilmittel ist das trotzdem nicht - wie immer gilt, das nur die sinnvolle kombination von maßnahmen die sicherheit erhöht.
;-)
ichichich *schnips schnips*
Vor der eigentlichen Antwort eine kleine Gegenfrage:
Glaubst du ernsthaft, dass angesichts der allgemein vorherrschenden positiven Meinung zu DTFWs all die vielen hunderttausend oder gar Millionen mit SASSER infizierten Rechner KEINE Desktopfirewall "drauf" hatten?
Nun die Antwort:
Nein, sie schützt nicht, denn ihr Schutz besteht darin, etwas im günstigsten Fall zu blockieren, was optimalerweise gar nicht blockiert werden müsste, da ja rechtzeitig gepatcht wurde.
Sie schützt nicht, da die große "Chance" besteht, dass der Anwender sie falsch konfiguriert oder die noch größere Chance, dass dies eine Malware (wie z.B. Gaobot) für ihn übernimmt.
Ihr Schutz ist nur unter besonders günstigen Bedingungen gegeben und schafft im Gegenzug so viele Möglichkeiten, diese Bedingungen zu verschlechtern (Scheinsicherheit->Unvorsichtigkeit, fehlerhafte Funktion, zusätzliche Lücken), dass dies schlicht zu unzuverlässig wäre, sie zu empfehlen.
...ja iron. ja.
die meisten dtfw sind eher schlecht. ja. und einige davon mögen auch den sasser nicht geblockt haben...
bitte - tu´ mir den gefallen und teste selbst bid/server.
mein ergebnis war bisher immer - sehr zuverlässiger schutz, wenn sorgfältig konfiguriert.
;-)
Glaube ich ehrlich gesagt, kaum. Blaster hatte keiner meiner Kollegen, die eine DTFW nutzten. Das wird auch bei Sasser nicht anders sein.
Fakt ist, ist die DTFW richtig konfiguriert, schützt sie gegen Sasser und Co., auch wenn man als Privatanwender mal ein Update vergißt, was bei vielen nun mal eher die Regel ist. Ich hatte die Patcherei vor Blaster ja auch voll verpennt und da ist es eben schön, wenn einem der Rechner dank FW bedienbar bleibt. Und die Zeit von Patch bis Sasser war ja nun diesmal wirklich arg knapp...
Aber ich will das hier nicht zu einer DTFW Werbung machen, so toll finde ich die Dinger auch nicht. Ich tendiere bei DSL eher zu einem Router. Wenn ich die T-Onlinewerbung sehe, steht immer ein Gang zur ... an. ;)
Beim Blaster-Wurm konnte man ja dieses DCOM einfach deaktivieren. Kann man den LSA-Dienst auch irgendwie abschalten oder geht sonst nichts mehr?
"...Kann man den LSA-Dienst auch irgendwie abschalten oder geht sonst nichts mehr? ..."
richtig - ohne lsass.exe geht nichts.
;-)
Abschalten geht leider nicht, dann wäre nicht einmal mehr eine Anmeldung am System möglich. Das wäre aber auch gar nicht nötig, wenn Microsoft endlich kapieren würde, daß es möglich sein sollte, daß nicht jeder Dienst auf einer Netzwerkschnittstelle horchen muß und man dementsprechend Bindungen setzen und entfernen könnte.
Man kann sagen was man will, aber die Schöpfer von dem Teil sind leider gut.
Jetzt reiten die Dinger schon aufeinanderer rum, ist das eine Viecherei...
Aber genau das hat man eigentlich immer schon angekündigt: #include"sasser" int lets_ride_darling() return ihr system wird in 60 sec terminiert. Das ist die logische Fortsetzung von C und Co. ;)