Neue Varianten von Sasser deutlich gefährlicher

Alle Informationen, Anleitungen und Removal Tools zum Entfernen des Wurms

Vom erstmals am Freitag aufgetauchten Internet-Wurm Sasser sind drei neue Varianten gesichtet worden, die deutlich gefährlicher sind als das Original und inzwischen rund eine halbe Million Rechner infiziert haben sollen.

Auch Sasser.B, Sasser.C und Sasser.D nutzen eine Sicherheitslücke in Windows 2000 und XP, die es den Schädlingen ermöglicht, sich ohne Zutun des Nutzers zu verbreiten. Sasser.B wurde das erste Mal am Samstag registriert, während Sasser.C und Sasser.D erstmals am Montag aufgetreten sind.

„Der Wurm wurde erheblich verbessert“, so Alfred Huger vom Symantec Security Response Center. Am frühen Montag lagen Symantec rund 10.000 bestätigte Infektionen vor, wobei das Unternehmen von mehreren hunderttausend infizierten Systemen ausgeht.

Was Experten schon am Wochenende vorhersagten, hat sich vielerorts bestätigt. Mitarbeiter, die ihre bereits infizierten Notebooks mit zur Arbeit gebracht haben, sorgten für eine deutlich schnellere Ausbreitung des Schädlings. Die Universität Massachusetts beispielsweise berichtet von 1100 infizierten Rechnern. „Alle Geräte, die mit dem Virus befallen sind, waren nicht gepatcht“, so Scott Conti, Network Operations Manager der Universität.

Übers Wochenende verbreitete sich der Wurm relativ langsam. Die neueren Varianten sind jedoch deutlich aggressiver. So prüfen Sasser.C und Sasser.D 1024 IP-Adressen gleichzeitig, ob sich dahinter eventuell ungepatchte Rechner verbergen.

Eine zweite Blaster-Epedemie scheint möglich. „Der Wurm könnte genauso viele Rechner infizierten wie MS Blaster“, so Partick Hinojosa vom Viren-Spezialisten Panda Software. Zwar beschädigt Sasser die infizierten Systeme nicht direkt, sondern schränkt deren Verfügbarkeit ein. „Sasser könnte bei infizierten Systemen ständige Reboots verursachen“, so Hinojosa.

Wer sein System noch nicht mit den entsprechenden Patches ausgestattet hat, sollte sich diese entweder über Windows Update oder von der speziell für den Wurm eingerichteten Webseite bei Microsoft herunterladen.

So entfernen Sie den Sasser-Wurm:

  1. Starten Sie den Rechner. Beim Erscheinen des „System Shutdown“-Fensters brechen Sie den Vorgang mit folgendem Befehl ab:
    Start –> Ausführen –> „shutdown -a“ (ohne Anführungszeichen)
  2. Laden Sie das für Ihre Windows-Version entsprechende Update MS04-011 herunter und installieren Sie den Patch:
    • Windows 2000 mit SP3, SP3 oder SP4
    • Windows XP und Windows XP mit SP1
    • Windows XP 64-Bit Edition mit SP1
    • Windows XP 64-Bit Edition Version 2003
    • Windows Server 2003
    • Windows Server 2003 64-Bit Edition
    • Windows NT Workstation 4.0 mit SP6a
    • Windows NT Server 4.0 mit SP6a
    • Windows NT Server 4.0 Terminal Server Edition mit SP6
    • (alternativ können Sie den Patch über Windows Update beziehen)

  3. Laden Sie das Microsoft Sasser Worm Removal Tool herunter und starten Sie das Säuberungs-Programm

Laden Sie sich die Tools zum Entfernen des Sasser-Wurms direkt aus dem Download-Channel von ZDNet:

  • Microsoft Removal Tool
  • BitDefender Removal-Tools
  • McAfee AVERT Stinger
  • Symantec Removal-Tool
  • F-Secure Removal-Tool
  • Sophos Desinfektions-Tool
  • Trend Micro Damage Cleanup Engine /Template

Links auf die Seiten der Anti-Virus-Spezialisten:

  • Bitdefender Win32.Worm.Sasser Removal Tool
  • Symantec W32.Sasser Removal Tool
  • Sophos Sasser Desinfektions-Tool
  • Trend Micro Anleitung und Removal Tool
  • F-Secure Anleitung und Removal Tool

<!–

 

–>

Themenseiten: Security-Praxis

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

5 Kommentare zu Neue Varianten von Sasser deutlich gefährlicher

Kommentar hinzufügen
  • Am 8. Mai 2004 um 9:53 von Frank Petermann

    Sicherheitsupdate zu Sasser
    Wenn ich das empfohlene Sicherheitsupdate von MS aufspiele, kommt es danach bei Word und Wordpad sowie vielen anderen Programmen, bei denen ich die Druckfunktion aufrufe, zum Systemneustart. Um normal arbeiten zu können, musste ich das Update wieder entfernen. Nutze W2k mit SP3. Was tun?

  • Am 5. Mai 2004 um 9:39 von Nordisch

    Shutdown unter Windows 2000
    Es sollte noch erwähnt werden, dass der Befehl "shutdown.exe" unter Windows 2000 nicht installiert ist, sondern auf dem Windows 2000 Resource Kit zu finden ist.

  • Am 4. Mai 2004 um 19:53 von Peter Mazohl

    Microsoft hat broken link …
    Es ist ja der Fehler des Erzeugers des Betriebssystems, wenn solche Einbrüche wie Sasser zugelassen werden. Es ist dann erfreulich, wenn Microsoft ein "removal tool" anbietet.
    Allerdings: Klickt man auf den Button Download, dann —-> kann die Seite nicht angezeigt werden.

    Bravo Microsoft! Wir sehen: der Qualitätsstandard bleibt erhalten!

    • Am 4. Mai 2004 um 21:37 von Wolfgang Weinrich

      AW: Microsoft hat broken link …
      Hättest Du es doch um 21.32 Uhr versucht. Die Verbindung klappte, ich hab nur ISDN, aber keine halbe Minute, und das Tool war runtergeladen. Übrigens, bei Microsoft, auf der Sasser-Seite. Hab‘ ich was falsch gemacht?

    • Am 5. Mai 2004 um 8:48 von Oml@™

      AW: Microsoft hat broken link …
      Und für deinen Autounfall ist Opel verantwortlich…

      Wer seine Computer nicht schützt ist selber schuld.

      Wird man trotzdem Opfer einer solchen Attacke – sollte das auch kein Problem sein, regelmäßige Datensicherung gehören zum korrekten Umgang mit Computern dazu.

      Microsoft hat schon vor längerer Zeit ein Update gegen die Sicherheitslücke zur Verfügung gesstellt – also nicht die Schuld auf wen anderes abschieben.

      Wer trotzdem so richtig unzufrieden mit Windows ist: Programmieren Sie sich einfach ein eigenes Betriebssystem…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *