Wenn euer Browser "spinnt" / LSASS.exe, lest bitte erst das hier!

[cart]

Wenn euer Browser "spinnt", lest bitte erst das hier!

Der schon vor wochen bekannte Virus, der sich lustig auf die Rechner im Netz verteilte hat, wie vorhergesagt, am 30.ten April zugeschlagen. Er macht folgendes:

Der Virus selbst kopiert sich als avserve.exe in das Windows verzeichnis (z.b. C:\Windows und kreiert einen Regestriy-key der die EXE automatisch beim Systemstart lädt:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "avserve.exe" = C:\WINDOWS\avserve.exe

Der Wurm selbst scannt zufällig aufeinanderfolgende TCP Ports ab Port 1068. Er agiert auch als FTP Server auf TCP Port 5554 und richtet eine Remote Shell (= GEFÄHRLICH!) an Port 9996 ein.

Eine Datei namens win.log wird auf der Festplatte erstellt. Sie beinhaltet die IP-Adresse des lokalen Computers.

Es werden im c:\WINDOWS\system32\-Ordner kopien des Wurms erstellt. Die kopien erschließen sich jeweils aus einer 4-stelligen Zahl +_up.exe. z.b.:

• c:\WINDOWS\system32\11583_up.exe
• c:\WINDOWS\system32\16913_up.exe
• c:\WINDOWS\system32\29739_up.exe

Ein Nebeneffekt des Wurms ist, dass er die LSASS.EXE bei einigen PCs crasht und ein reboot erzwingt

Wie man infiziert wird:
Der Wurm nutzt eine Sicherheitslücke in Windows und überträgt sich von PC zu PC (...ja Wurm halt^^). Er scannt nach anfälligen Systemen und wenn eins gefunden ist infiziert er diesen über die LSASS.EXE by overflowing a buffer. Er installiert dann eine Fernsteuerungsmöglichkeit (Remote Shell) und ein FTP-Script namens cmd.ftp auf dem infizierten Computer und führt dies aus. Das FTP script zwingt den Opfer-Pc sich den Wurm runterzuladen von dem vorheriegen Rechner und auszuführen (Dateiname: ####_up.exe, wie oben erwähnt)

Der Wurm untereilt sich in verschieden Scan-Kategorien, welche die das Subnet A bis C ausscannen. Das (Angriffs-?)Portziel ist der TCP Port 445.

Hier gibs ein WindowsUpdate aus der Knowledgebase, welches davor schützen soll:
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
Hinweis: www.ipindex.de

Und hier noch die Beschreibung in Englisch (Quelle):
http://vil.nai.com/vil/content/v_125007.htm

Wie ich ihn bei mir bemerkt habe, und wie man ihn wegbekommt:

Ich sah mir grade ein Replay in wc3 an, als es auf einmal aus unerklärlichen Gründen angefangen hat zu ruckeln. Meine erste Vermutung führte mich zum Taskmanager wo eine avserve.exe und eine datei namens 1769_up.exe (oder so ähnlich) waren, die da aber eigentlich nicht hingehörten. Diese EXE mit der Zahl davor hat meinen Athlon 2000+ mit 71% belastet. Und so lange wie die avserve.exe als Dienst angemeldet war, konnte ich weder mit Mozilla noch mit dem IE surfen. Ich sah dann auf www.virus.de nach und bemerkte den seit gestern aktiven Wurm, und tja, ....die Symphtome stimmten überein. Dann hab ICH folgendes gemacht:

• Die beiden Dienste im Taskmanager beenden (avserve und die exe mit der nummer, die man immer wieder beenden muss, wenn die starten
• WindowsUpdate ziehen (s. oben)
• Reboot
• Regestry-Key entfernt
• Die Dateien avserve.exe, win.log und die kopien mit den Zahlen (*_up.exe) gelöscht
• reboot

Ich denke das war die richtige reihenfolge, wenn nicht, sags mir, dann editier ich das hier.

Die vielleicht bessere alternative ist wohl ein Anti-Virenprogramm.

Ich hoffe einigen geholfen zu haben, ...ihr wisst bestimmt zu schätzen dass ich in diesen Post viel Zeit investiert habe

 

[SiLveR4]

€: erledigt

 

[Busta_inaktiv]

cart, du hattest den wurm selber ?

 

[cart]

Nee. Das kommt aus dem Wc.de Forum, wo sich ein User die Mühe gemacht hat das zu tippen

 

[[CoC]Psychosis]

ergänzungsfrage: soll cmd.ftp auch gelöscht werden?

 

[[For]Hood2]

ja

 

[XFreeX]

Windows auch?

 

[cart]

Original geschrieben von XFreeX
Windows auch?

 

[xAN]

cool danke, hab den virus auch vor ein paar tagen entdeckt :-)

 

[ahja]

removal tool: http://sarc.com/avcenter/venc/data/w32.sasser.removal.tool.html

 

[kala]

warum macht eigentlich niemand das Windows AutoUpdate an ?
So verpasst man garantiert keinen Super Patch Dienstag mehr.

 

[Entwirker]

hm, warum steht im titel lsass.exe, ist das auch nen virus oder ist das nur der betroffene prozess der dann rumspinnt?

 

[cart]

Das ist der betroffene Prozess!

 

[MickT]

rofl ich krieg lsass.exe nicht weg... nichtmal mit dem removal tool... aber das komische ist, dass mein pc nicht abstüzrt und auch nicht rumspinnt... der wurm ist ganz ruhig.. und avserve.exe hatte ich nie aufm comp... was is hier los? t.t

 

[[USJ]LuNaTiC']

lsass.exe ist auch kein virus, sondern ein speicherverwaltungsdienst (oder? verbessert mich~), der zu windows gehört. der wurm bringt diesen dienst zum absturz und erzwingt so einen reboot, ähnlich wie w32.blaster damals mit dem rpc-dienst. sollte man, falls es passiert, ganz genauso aufhalten können: shutdown -a in die eingabeaufforderung.

 

[4GT~DosX]

na wenn dus so willst:
LSASS ist ein Windows Prozess, mit vollem Namen: Local Security Authority Subsystem Service
also für die lokale Sicherheit zuständig

Der Wurm schafft's aber diesen Prozess zu überlasten -> PC startet neu

ob shutdown -a geht weiss ich nicht - bei mir und meinem ganzen Freundeskreis noch nicht aufgetreten.

 

[MickT]

hmm also hab ich ihn nicht drauf t.t
weil bei mir ist nichts überlastet und auch nichts abgestürzt

 

[cart]

Dann sei glücklich und hör auf hier rumzuspamen.
Selbst dein erster Post ist absolut überflüssig, wenn du den ersten Post dieses Threads gelesen hättest.

 

[D3m0nHunt0r]

hmm ich hab grad durch zufall das hier gelesen


adserve.exe ( oder so bin mir jetzt nicht sicher ) kann ich mich noch dran erinnern

mein pc rebootet auch die ganze zeit diese IP adresse hat er auch erstellt ich hab mir gedacht was ist das ? und hab es rausgelöscht


ich muss teilweise 30-60 min warten damit erhochfährt

diese adserve.exer datei ist nicht mehr da das andere auch nicht


was soll ich tun?

ich will wieder zocken

der fährt immer runter ...

 

[D3m0nHunt0r]

schön das hier soviele antworten,während mein pc mich owned ...

 

[DerTotmacher]

Hi, habe auch noch eine kurze Frage zu dem genannten Wurm.
Ich hatte(?) mich in den letzen Wochen damit infiziert.-Plötzlich
ging dieser nervige "Ihr PC wird in 60sek..."-sabber los.

shutdown-a funzt auch bei diesem Kerl.

Nun meine Frage:
Ich hatte mir damals einfach sämtliche WinUpdates runtergeladen und es war wieder gut.
Nun würde mich aber interessieren ob die Win Updates einfach nur das Problem beheben,den Wurm aber nicht entfernen.
Oder wird dieser dann auch entfernt?

Egal was der Fall ist,-stellt der Wurm noch eine Gefahr auf einem geupdaten System dar?

-Sprich hat das einfach update gereicht?
(Subjektiv gesehen wars effiktiv,-der PC läuft wie eine 1)
Oder muss ich als Laie noch mehr unternehmen?

Viele Grüße Totmacher

 

[Shihatsu]

das update verhindert nur die verbreitung durch die lücken in windows, aber weder entfernt es den wurm noch entfernt es nachinstallierte komponenten.

 

[DerTotmacher]

Ok. hab jetzt das wurmremoval tool jetzt nach anleitung durchlaufen lassen einmal im normalen modus, einmal als admin im abgesicherten.
Bei beiden Versuchen wurde nix gefunden.

Theoretisch kann ich also doch davon ausgehen das nix drauf is.
-Scheinbar bringt das update doch so einiges mehr?

greets toti

 

[Raubfisch]

ich habe ne avgserve.exe

zählt das auch?

lsass.exe hab ichauch