|
  |
 Windows 2000/XP: W32.Sasser-Wurm Workaround |
Cerberus 
Chefredakteur
Dabei seit: 23.07.2002
Beiträge: 12.049
Herkunft: Lübeck
 |
|
 Windows 2000/XP: W32.Sasser-Wurm Workaround |
     |
Einleitung:
Es war abzusehen und leider nur eine Frage der Zeit, bis eines dieser schlüpfigen Monstren einmal mehr zu trauriger Berühmtheit gelangt.
Der sogenannte Sasser-Wurm beweist wie schon sein Kollege W32-Blaster vor einem Jahr großen Appetit, was durch einige Meldungen verdeutlich wird:
"Mit Beginn der Büro-Woche breitet sich der Computer-Wurm "Sasser" weiter aus. Experten gehen davon aus, dass weltweit inzwischen Millionen Rechner durch das Virus gelähmt sind.
In Taiwan zeigte das Fernsehen lange Schlangen vor Postfilialen, in denen die Computersysteme durch den Wurm ausgefallen waren. Die drittgrößte finnische Bank Sampo schloss 130 Zweigstellen weil dort die Anti-Virus-Software nicht auf dem neuesten Stand war. Es handele sich um eine Vorsichtsmaßnahme, erklärte Sampo. "Sasser" verbreitet sich nach Beobachtungen des Bundesamts für Sicherheit in der Informationstechnik auch in Deutschland sehr schnell.
Das finnische IT-Sicherheitsunternehmen F-Secure schätzt, dass seit dem Wochenende bereits über sechs Millionen neue Rechner infiziert wurden. Darunter seien auch internationale Konzerne, deren Namen F-Secure jedoch nicht nennen wollte. Die Virenschutz-Firma Pandasoft aus den USA hatte am Wochenende geschätzt, dass insgesamt rund 18 Millionen PCs von "Sasser" befallen seien."
In den Workshops zum Thema W32.Blaster
sowie DCOM/RPC Schwachstellen abschotten
hatten wir ja schon auf mögliche Angriffsflächen im System hingewiesen und es macht nach wie vor Sinn, DCOM zu deaktivieren.
Bevor wir aber zur Eliminierung des Wurms und der grundsätzlichen Systemprävention kommen, einige aktuelle Fakten zum neuen Übeltäter.
Was macht dieser Wurm?
Die Sasser-Würmer kommen nicht via E-Mail ins Haus, sondern verbreiten sich ähnlich wie die bekannten Blaster/Lovsan direkt übers Netz. Worm/Sasser.A und seine Varianten B,C und D verbreiten sich über eine LSASS (Local Security Authority Subsystem Service) Sicherheitslücke von Microsoft. Dazu das Security Bulletin von Microsoft:
Microsoft Security Bulletin MS04-011 vom 13. April !!!
Der Wurm scannt über den Port TCP 445 / TCP 9996 nach weiteren Rechnern, die diese Sicherheitslücke aufweisen. Ein FTP Script wird geladen welche sich über den Port 5554 die Dateien via FTP nachlädt.
Der Wurm startet vom neu infizierten Computer sofort 128 gleichzeitige Angriffsversuche ins Internet, beziehungsweise ins lokale Netzwerk.
Es genügt somit, einen ungepatchten Rechner ohne Firewall ans Internet anzuschließen, um sich Sasser einzufangen, analog zum bekannten W32.Blaster.
Betroffene Systeme:
• Microsoft Windows® XP und Windows XP Service Pack 1
• Windows 2000 Service Pack 2, Windows 2000 Service Pack 3 und Windows 2000 Service Pack 4
Nicht betroffene Systeme:
• Windows XP 64-Bit Edition Version 2003
• Windows Server 2003
• Windows XP 64-Bit Edition Service Pack 1
• Windows Millennium Edition
• Windows 98 Second Edition
• Windows 98
• Windows NT 4.0 Service Pack 6a
Typische Symptome:
1. Es erscheint eine Meldung, dass das System heruntergefahren werden muss ("System herunterfahren"). Dies kann aber auch geschehen, ohne daß später ein Wurm auf dem System gefunden wird!
2. Machmal wird die Info ausgegeben: "lsass.exe - Fehler in Anwendung".
Aber Vorsicht! Die Datei lsass.exe selbst ist nicht der Wurm. Es handelt sich dabei um eine Windows Systemdatei, die absolut notwendig ist!
Eine lsass-Fehlermeldung muß nicht zwangsläufig auf eine erfolgte Installation des Wurmes hindeuten - auch ein fehlgeschlagener Installationsversuch kann entsprechende Meldungen zur Folge haben.
3. "LSA Shell (Export Version) hat einen Fehler ermittelt und musste beendet werden".
4. Sasser nutzt die AbortSystemShutdown API
, um Versuche zu unterbinden, das System herunterzufahren oder neu zu starten.
5. Systemabstürze, verminderte Systemleistung.
Wie finde ich den Wurm auf meinem System?
Sasser.A
1. Der Wurm Worm/Sasser.A kopiert sich in das Windows Verzeichnis ("WINNT" bei Windows 2000 und "Windows" bei Windows XP) als AVSERVE.EXE und legt folgenden Registry Eintrag an, damit er beim nächsten Systemstart automatisch gestartet wird:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
"avserve.exe"="C:\\%WinDir%\\avserve.exe"
2. Es wird die Datei C:\WIN.LOG angelegt.
3. Der Wurm erstellt mehrer Kopien von sich selbst im Windows Systemverzeichnis mit dem Namen <%5 variable Zahlen%>_up.exe.
Sasser.B
1. Der Wurm Worm/Sasser.B kopiert sich in das Windows Verzeichnis ("WINNT" bei Windows 2000 und "Windows" bei Windows XP) als AVSERVE.EXE und legt folgenden Registry Eintrag an, damit er beim nächsten Systemstart automatisch gestartet wird:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
"avserve2.exe"="C:\\%WinDir%\\avserve.exe"
2. Es wird die Datei C:\WIN2.LOG angelegt.
3. Der Wurm erstellt mehrer Kopien von sich selbst im Windows Systemverzeichnis mit dem Namen <%5 variable Zahlen%>_up.exe.
Sasser.C
1. Der Wurm Worm/Sasser.C kopiert sich in das Windows Verzeichnis ("WINNT" bei Windows 2000 und "Windows" bei Windows XP) als AVSERVE.EXE und legt folgenden Registry Eintrag an, damit er beim nächsten Systemstart automatisch gestartet wird:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
"avserve2.exe"="C:\\%WinDir%\\avserve.exe"
2. Es wird die Datei C:\WIN2.LOG angelegt.
3. Der Wurm erstellt mehrer Kopien von sich selbst im Windows Systemverzeichnis mit dem Namen <%5 variable Zahlen%>_up.exe.
Sasser.D
1. Der Wurm Worm/Sasser.D kopiert sich in das Windows Verzeichnis ("WINNT" bei Windows 2000 und "Windows" bei Windows XP) als skynetave.exe und legt folgenden Registry Eintrag an, damit er beim nächsten Systemstart automatisch gestartet wird:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
"skynetave.exe "="C:\\%WinDir%\\skynetave.exe "
2. Es wird die Datei C:\WIN2.LOG angelegt.
3. Der Wurm erstellt mehrer Kopien von sich selbst im Windows Systemverzeichnis mit dem Namen <%5 variable Zahlen%>_up.exe.
z.B.: c:\windows\system32\12345_up.exe
Sasser.E
1. Der Wurm Worm/Sasser.E kopiert sich in das Windows Verzeichnis ("WINNT" bei Windows 2000 und "Windows" bei Windows XP) als lsasss.exe und legt folgenden Registry Eintrag an, damit er beim nächsten Systemstart automatisch gestartet wird:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
"lsasss.exe "="C:\\%WinDir%\\lsasss.exe "
2. Es wird die Datei C:\ftplog.txt angelegt.
3. xxxxx_up.exe im Windows-Verzeichnis, wobei xxxxx für eine zufällig generierte vier- oder fünfstellige Zahl steht;
Sasser.F
1. Der Wurm Worm/Sasser.F kopiert sich in das Windows Verzeichnis ("WINNT" bei Windows 2000 und "Windows" bei Windows XP) als napatch.exe und legt folgenden Registry Eintrag an, damit er beim nächsten Systemstart automatisch gestartet wird:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
"napatch.exe "="C:\\%WinDir%\\napatch.exe "
2. Es wird die Datei C:\winlog2 angelegt.
3. Der Wurm erstellt mehrer Kopien von sich selbst im Windows Systemverzeichnis mit dem Namen <%5 variable Zahlen%>_up.exe.
z.B.: c:\windows\system32\12345_up.exe
Wie kann ich den Wurm entfernen?
Zunächst einmal heißt es Ruhe bewahren, der Wurm ist zwar hartnäckig aber mit geeigneten Maßnahmen rückhaltlos zu entfernen.
1. Schritt:
Wir starten über Start ->Ausführen den Befehl shutdown -a, damit wir den ausgelösten Shutdown des Systems stoppen können.
Unter Windows 2000 funktioniert dies nicht, darum kappen wir hier den Internetzugang bz. Netzwerkverbindung sofort und beenden folgende Prozesse im Taskmanager:
Der Name endet mit _up.exe.
• Der Name beginnt mit avserv.
• Der Name lautet hkey.exe.
• Der Name lautet skynetave.exe.
• Der Name lautet msiwin84.exe.
• Der Name lautet wmiprvsw.exe (nicht mit wmiprvse.exe verwechseln!).
Nun können wir uns wieder ins Internet einwählen und mit Schritt 2 fortfahren.
2. Schritt:
Jetz gehen wir - sowohl bei Windows XP als auch Windows 2000 - wie folgt vor:
Wir erstellen im Verzeichnis %systemroot%\debug\ eine Datei namens dcpromo.log und setzen die Berechtigungen der Datei auf Lesezugriff. Dafür geben wir unter Start -> Ausführen den Befehl cmd ein und klicken auf OK. In dem nun öffnenden Fenster geben wir folgenden Befehl ein und drücken anschließend die Enter-Taste:
echo dcpromo > %systemroot%\debug\dcpromo.log & attrib +r %systemroot%\debug\dcpromo.log
Hinweis: Hierdurch wird der Wurm sowohl daran gehindert, den Rechner zu infizieren, als auch auf befallenen Rechnern zur Ausführung zu kommen und sich weiter zu verbreiten!
Wir laden uns jetzt für das jeweilige Betriebssystem den benötigten Patch von Microsoft herunter:
Patch für Windows XP
Patch für Windows XP 64-Bit Edition Version 2003
Patch für Windows 2000
Patch für Windows Server 2003 64-Bit Edition
Patch für Windows Server 2003
Wir laden uns nun die entsprechenden Removal Tools herunter, wobei wir Stinger wegen der permanenten Aktualisierung empfehlen
Microsoft Removal Tool
McAfee Stinger
Removal Tool von Bitdefender
Symantec Sasser Removal Tool
Für Netzwerkadministratoren empfiehlt sich zusätzlich das Tool DSScan
, um verwundbare Systeme zu scannen. Denn die Erfahrung mit Blasterwurm lehrt, daß die Würmer beispielsweise über infizierte Notebooks auch Zugang zu internen Firmennetzen finden werden und dort dann ungehindert unter den oftmals ungepatchten Arbeitsplatzrechnern hausen.
3. Schritt:
Nachdem wir nun alles Benötigte parat haben, schalten wir die Systemwiederherstellung ab, wobei dieser Schritt bei Windows 2000 entfällt.
anschließend kappen wir unsere Internetverbindung, starten den Rechner neu, und wechseln per F8 in den abgesicherten Modus. Der Wurm erzeugt Registryeinträge, durch die er beim normalen Starten von Windows mitgestartet wird und er legt jedes mal eine Sicherungskopie von sich selbst an, die dann sozusagen als Wurmclon gestartet wird und genau das wollen wir ja vermeiden.
Im abgesicherten Modus führen wir nun eines der Removal Tools aus und beseitigen damit den groben Kern des Wurms.
Anschließend rufen wir die Registry per Start ->Ausführen ->Regedit.exe ->Enter auf und prüfen anschließend die Registry über Bearbeiten ->Suchen auf folgende Einträge:
avserve.exe, avserve2.exe oder skynetave.exe
Sollten sich Einträge in der Registry finden, dann löscht diese Einträge und führt die Suche per F3 solange weiter, bis keine löschrelevanten Einträge mehr gefunden werden.
Gleichermaßen gehen wir über die Dateisuche vor, achtet aber darauf, daß auch versteckte Dateien angezeigt werden!
Eine Suche nach xxxx_up.exe erfolgt in Windows über die Sucheingabe: *_up.exe. Das kleine Sternchen ersetzt also die zufällig generierten Zahlen.
Über Start ->Ausführen Msconfig.exe rufen wir das Systemkonfigurationsprogramm auf und wechseln auf den Karteireiter "Systemstart".
Hier prüfen wir die Autostarteinträge auf mögliche Einträge wie avserve.exe, avserve2.exe oder skynetave.exe.
Solltet ihr Windows 2000 verwenden, bekommt ihr Msconfig hier
.
Zur Sicherheit starten wir neu und wechseln nochmals in den abgesicherten Modus, wo wir zur Kontrolle noch einmal die Registry und die Dateien per Suchfunktion auf die bewußten Dateien checken.
Jetzt erst installieren wir die runtergeladenen Patches von Microsoft und starten den Rechner im "normalen" Modus, um dann den Taskmanager abschließend noch auf mögliche Prozesseinträge zu kontrollieren.
- Öffnet den Taskmanger per Strg+Alt+Entf.
- Klickt auf die Registerkarte "Prozesse".
- Durchsucht die Liste nach _up.exe, avserv, hkey.exe, skynetave.exe, msiwin84.exe, wmiprvsw.exe (nicht mit wmiprvse.exe verwechseln!).
- Nach unserer Reinigungsaktion sollten zwar keine Einträge mehr vorhanden sein, aber wenn ihr avserve.exe, avserve2.exe oder skynetave.exe finden solltet, klickt bitte zuerst auf die Datei und anschließend auf "Prozess beenden".
- Schließt den Task-Manager.
Wenn sich Einträge finden lassen, dann beginnt die Reinigungsprozedur von vorne!!!
4. Schritt:
Nachdem nun hoffentlich alle Dateien des Schädlings eliminiert wurden und das System per Patchupdate relativ sicher ist vor weiteren Attacken, führen wir mit unserem upgedateten Virenscanner eine komplette Systemanalyse durch.
Solltet ihr über keinen Virenscanner verfügen, so könnt ihr bei ESET
einen Onlinescan durchführen lassen. Alternativ dazu ist der Onlinescan von Bitdefender
ebenfalls sehr empfehlenswert.
Wenn alles wieder rund läuft, könnt ihr eure Systemwiederherstellung wieder aktivieren und hoffentlich entspannt und störungsfrei arbeiten.
Falls wider Erwarten noch Probleme auftauchen, dann erörtern wir diese gerne in unseren Foren.
Sollten sich aktuelle Sasser-Wurmvarianten zeigen, die ein Update dieses Workarounds notwendig erscheinen lassen, so werden wir dies in jedem Fall tun.
Kann ich für die Zukunft vorbeugende Maßnahmen ergreifen?
Der Patch beseitigt zwar die offenen Sicherheitslücken für diesen speziellen Fall, aber wir fassen abschließend noch einmal die wichtigsten Kriterien für einen abgesicherten Windows 2000/XP Rechner zusammen:
1. die XP Firewall aktivieren, oder eine adäquate Firewall installieren, die ständig aktuell gehalten wird.
2. Betriebssystem permanent aktuell updaten.
3. Windows 2000/XP grundsätzlich mit Benutzerrechten und nie mit Administratorrechten zum Surfen verwenden. Voraussetzung ist, daß NTFS als Dateisystem verwendet wird. Nur so können wir verhindern, daß z.B. unerwünschte Software/Malware auf unser System gelangt und das Schäden am Systemverzeichnis entstehen.
4. Die Dienste (Systemsteuerung ->Verwaltung ->Dienste) Distributed Transaction Coordinator" und "Nachrichtendienst" beenden und deaktivieren.
5. DCOM deaktivieren, wie in diesem Artikel
beschrieben.
6. SMB ("Server Message Block") über den Port 445 (siehe Punkt 5)abschalten,
SMB (Server Message Block) ist das Internetstandardprotokoll, das Windows zum Freigeben von Dateien, Druckern und seriellen Anschlüssen sowie zur Kommunikation zwischen Computern über Named Pipes und Mailslots über das Netzwerk verwendet.
7. DHCP bei Nichtverwendung deaktivieren.
8. NetBios entbinden, so wie in diesem Thread
beschrieben.
9. Nachrichtendienst, Automatische Updates, Eingabegerätezugang,
Fehlerberichterstattungsdienst, Indexdienst, Routing und RAS, SSDP Suchdienst, Telnet und Taskplaner deaktivieren.
Jetzt haben wir nicht nur sehr viel für die Resistenz gegen den Sasser-Wurm getan, sondern auch generell für unsere Internet-Sicherheit.
Egal was ihr letztendlich für Schlüsse aus der neuerlichen Wurmattacke zieht, alle eure Bemühungen sollten unter der Prämisse stehen:
Der nächste Wurm kommt bestimmt !
Man kann eigentlich gar nicht abschätzen, wieviele Computerprobleme bereits in der Entstehung verhindert werden könnten, wenn ein Mindestmaß an Sicherheitsbewußtsein umgesetzt werden würde, leider erweist sich wieder einmal, das die Hoffnung nur der Vater des Gedanken ist.
weiterführende Links und Artikel:
An dieser Stelle wollen wir noch auf einige sicherheitsrelevante Artikel aus unserem Archiv verweisen:
Sicherheitsloch im Sasser-Wurm
- neu -
Windows 2000/XP: Safer Surfen...der Sicherheitsworkshop
Windows NT/2000/XP/2003: DCOM/RPC Schwachstellen abschotten
Anti-Hijacker-Workshop
Wurmvertilgung mit McAfee AVERT Stinger
MyDoom.A/MyDoom.B Workaround
Die W32.Blaster-Wurmattacke....der Workshop
Es gibt übrigens die Möglichkeit sich bei Microsoft in eine Liste für Security Newsletter eintragen zu lassen, um immer auf dem neuesten Stand bezüglich aktueller Patches und Sicherheitswarnungen zu sein:
Microsoft Security Newsletter
Cerberus
|
|
04.05.2004 07:56 |
|
|
|
|
|
Designed by PC-Experience.de, online seit 06.August 2002
Copyright © 2002 - 2023 PC-Experience.de |
|
