Viren, Spyware, Datenschutz 11.241 Themen, 94.650 Beiträge

Hier noch einmal eine Warnung an Alle bzgl. Sasser, vor alle

xafford / 34 Antworten / Flachansicht Nickles

Einige AV-Hersteller schreiben Sasser keine eigenen Schadfunktionen zu, das mag großteils stimmen. Allerdings gibt es einen unschönen Nebeneffekt.
Ich war gerade im Rechenzentrum zwecks Lagebesprechung und es gab interessante Informationen als bestätigung dessen, was ich in einem anderen Posting unten schon vermutet hatte:
Phatbot ist unterwegs und schleicht sich auch auf Sasser infizierte Rechner ein. Die (un)schöne nebenwirkung ist, daß Phatbot die Backdoor, die Sasser installiert in Form eines TFTP wieder schließt und Sasser unschädlich macht. In mehreren Studentenwohnheimen wurden Rechner untersucht, deren Besitzer nichts von einer Infektion merkten aus einem einfachen Grund:
Ursprünglich war eine erfolgreiche Sasser-Infektion. Wenn Sasser erfolgreich einen Rechner korrumpiert, so stürzt der LSASS-Dienst nicht ab, das passiert nur bei einer erfolglosen Infektion, wenn der Wurm den falschen Offset für den Exploit gewählt hat, da dieser bei 2000, XP und 2003 unterschiedlich liegt. Zielmlich direkt nach der Infektion schleuste sich ein Phatbot ein (der auch noch andere Einfallstore nutzt außer Backdoors von Sasser). Phatbot besietigte die Hintertür, es konnten keine weiteren Sasser-Angriffe mehr erfolgen, der User bemerkte also nichts von einer Infektion.
Also auch bei Leuten, die keinerlei Infektion bemerken und bei denen Stinger oder ihr Antivirentool nicht angeschlagen haben können nicht sicher sein, daß ihr System sauber ist, wenn sie den Patch von Microsoft nicht vor dem Wochenende eingespielt hatten.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
PS: mail mich mal an... xafford
kleine Info zu Phatbot Gurus
kleine Info zu Phatbot Gurus
kleine Info zu Phatbot xafford
Teletom The Wasp „Lölchen Ich mag deine Postings gern lesen, weil sie nicht nur fachlich...“
Optionen

Ich finde wie gesagt schon, dass, wenn es nicht anders geht wie beim Internetdirektzugriff, eine PersonalFirewall gegen Sasser-Blaster-artige Würmer schützt. Man braucht nur dafür zu sorgen, dass die entsprechenden Ports (z.B. 445) vom Internat initiierend sich so verhalten, als wär der dazugehörige Dienst nicht aktiv. Da Firewalls nur bestimmte wenige Standardports internetmäßig antwortgebend freigeben, schützt das bloße Verwenden einer PersonalFirewall.

Es gibt immer eine zeitliche Diskrepenz zwischen Erscheinen des Virus/Wurms und dem Erscheinen des Patches sowie der Virenschutz-Software-Signatur. In der Zeit ohne Patch und ohne Virensignatur schützt die PersonalFirewall bei dieser Art Virus und bei einem Internetdirektzugriff.

Besser ist natürlich ein LAN-Router oder noch besser ein LAN-Proxyserver, bei beiden ist eine Initiierung vom Internet aus im Standard nicht möglich, weil standardmäßig eine Ziel-LAN-Client-IP nicht zugeordnet ist. Ausnahme ist das sogenannte Port-Forwarding, aber das ist eine andere Geschichte, z.B. dass man mit Port 80 einen LAN- Webserver anspricht.

Gruß
Teletom

bei Antwort benachrichtigen
Danke Teletom. The Wasp