Hallo,

es ist mal wieder ein Wurm aufgetaucht, der sich ohne eigenes Zutun auf den Rechner installiert. Ähnlich wie der MS-Blaster Wurm vom August 2003. Jeder, der Windows XP oder 2000 benutzt, keine Firewall hat und noch nicht den Sicherheitspatch von Mitte April 2004 installiert hat, ist potentielles Opfer.

Deshalb sollte man zuerst mittels diesem Tool überprüfen, ob man sich den Wurm eingefangen hat und danach auf jeden Fall (egal ob der Wurm gefunden wurde oder nicht), dieses Update installieren. Dabei gilt: Zuerst beide Sachen herunterladen, dann den Computer vom Internet nehmen und dann erst installieren. Wenn ihr online bleibt, kann sich der Virus nämlich u.U. gleich wieder installieren kurz nachdem ihr ihn gelöscht habt.

Man kann ja eigentlich froh sein, dass die Würmer nicht anderes machen als einen FTP-Server zu öffnen oder eine Attacke zu starten. Sie könnten nämlich z.B. auch Dateien löschen...so spaßig wie in diesem SPIEGEL-Artikel dargestellt, ist die Sache daher nicht. Der Wurm hat vollen Zugriff auf das System. Das ist schon sehr beunruhigend.

Gruß

Andreas

Ich selber bin noch nicht davon betroffen allerdings hat die Deutsche Post AG in Hagen sich solch ein Würmchen eingefangen und bei uns ging nix mehr.
Was aufbaut ist wohl das wir nicht das einzige Großunternehmen waren das betroffen war.

Letzte Bearbeitung am 04-Mai-04 um 16:42 Uhr ()
Hi,

Ein paar Facts

1. Der Wurm ist nach ersten Erkenntnissen harmlos und vermutlich von einem Kiddie ohne große Kenntnisse in der Freizeit geschrieben worden. Mittlerweile tauchen ständig alternative Versionen auf (im Moment des Beitragsschreibens sind es 4 im Umlauf), sodaß ein aktueller Virenscanner nicht ausreichend ist, sondern auch der Angriffsweg beseitigt werden muss
2. Er nutzt keine neue Lücke, sondern die alte, die *nie* geschlossen wurde. Es gab seitdem nur einen Patch, der spezifisch genau den Blaster aufgehalten hat, aber die Lücke nicht fixte
3. Das berühmte "Herunterfahren in 60sek" ist oft missinterpretiert worden. Dabei handelt es sich um einen missglückten Versuch, den Rechner zu infizieren - allerdings weil er sehr wahrscheinlich bereits infiziert ist! Daher: Die Abwesenheit der Meldung bedeutet nicht, dass der Virus nicht auf dem System ist
4. Zu großen Infektionswellen bieten 2 Dienste hervorragende Informationen an: Heise Security (Meldung1 Meldung 2 Meldung 3) und die Informationen des Bundesamts für Sicherheit in der Informationstechnik (Meldung).
5. Die Post ist selbst Schuld: Da hat jemand überstürzt gehandelt und die Firewall so überzogen, dass selbst die eigenen Rechner nicht mehr an die Zentrale kamen. Es gab also überhaupt keinen Virenbefall, nur ein befallener Administrator der selber für den Ausfall gesorgt hat

Eigentlich also ziemlich kalter Brei, inzwischen.

Grüße,
Alex
Eigentlich ist es total einfach, sicher zu sein

>Eigentlich also ziemlich kalter Brei, inzwischen.

Inzwischen schon...
Hier einmal ein Erfahrungsbericht eines Betroffenen(der sich darüberhinaus nicht sonderlich für PC und Würmer interessiert hat).

Komme also Sonntag,den 2.5. nach Hause und will dringend etwas im Internet nachschauen,schmeiße die Kiste an und wundere mich schon über Downloadaktivitäten,obwohl ich noch gar nix downloade. Und dann(nach ca. 2Min. die Meldung: PC fährt in 60sec runter. Da habe ich naiverweise noch an einen normalen Aufhänger gedacht (trotz nagelneuen PC). Als nach dem Wiederhochfahren und erneuten Onlinegang das gleiche wieder passierte war dann auch mir klar,dass es sich um so etwas wie einen Wurm handeln muß(FLUUUUCH).
Was aber macht ein Computerlaie wie ich,der das Patch nicht heruntergeladen bekommt,weil kurz vor Ende des Downloads der PC sich ausschaltet? Nach etwas Probieren hab ich dann doch die Lösung gefunden: System auf Datum vor Virenbefall zurückstellen,dadurch musste sich auch erst der Wurm wieder neu in mein System fressen. Und die Zeit, die er dafür brauchte,habe ich zum Patchdownload genutzt und war eher fertig. Dann raus aus dem Internet,installieren,System wieder zurückstellen,ins Internet und den Remover runtergeladen -> WURMFREI
(Die kleine Sassermistsau hat tatsächlich gedacht, sie könnte mich kriegen...HAH! )
Im Ernst - ich war froh,dass ich das auf die Reihe gekriegt hab und wünsche jetzt nur noch dem kleinen Pisser,der das verbrochen hat, ewig juckende,nie mehr verschwindende S***ratten!

Hugh - ich habe gesprochen(und werde jetzt die Firewall installieren...)

Bruno

"Ich bin kein Big Mod - na und?"

Hi,

>(...)und wünsche jetzt nur noch dem kleinen Pisser,der das verbrochen hat, ewig juckende,nie mehr verschwindende S***ratten!

Wobei der Zusammenhang in der Realität komplexer ist, da es einen Haufen Beteiligter Leute an dem Prozess gibt. Zuerst einmal muss jemand die Lücke programmieren, in diesem Fall MS. Dann gibt es jemanden, der sie einsetzt, das bist du. Dann gibt es Leute, die finden sie und berichten darüber, wobei je nach Lücke der Hersteller zu diesem Zeitpunkt vorab informiert wird, um die Lücke zu schließen. Bestimmte Leute erstellen Exploits (Programme die nur die Lücke testen und sonst nichts machen) - das sind zum Teil Sicherheitsfachleute die das beruflich machen. Und dann gibts Leute, die finden die Informationen und scripten sich den Rest dazu bzw. variieren nur existierenden Code. Letztere sind natürlich nur Parasiten, aber das mangelnde Sicherheitsbewußtsein ist teilweise schon erschreckend. Da musste es letztlich so kommen, dass es jetzt laufend einen Krieg zwischen Virenprogrammieren gibt (Netsky/Beagle), die nicht nur Viren basteln die sich aus Spaß verbreiten, sondern tatsächlich die Opfer-PCs für kriminelle Aktivitäten nutzen. Unter anderem bestehen mittlerweile ganze Spam-Netzwerke nur noch aus gekaperten PCs, die sich an einem neutralen Punkt anmelden und Befehle entgegennehmen. Stundenweise werden dann beispielsweise von Spammern die PCs "gemietet", oder auch zu DOS-Attacken auf Webserver der ungeliebten Konkurenz. Die Kommerzialisierung bildet schon seltsame Blüten...

Grüße,
Alex

kleiner Tip:
Auch hier funktioniert das mit dem wegbekommen der Fehlermeldung mit Herunterfahren des Systems in xx sekunden wie bei dem alten Blaster? Wurm, einfach unter Start -> Ausführen: "shutdown -a" eigeben und in ruhe den patch downloaden.

Sasser-Programmierer in Deutschland gefasst

Wie das Landeskriminalamt in Hannover heute Morgen mitteilte, wurde gestern der mutmaßliche Programmierer des Internet-Wurms Sasser festgenommen. Es handele sich um einen 18-jährigen Schüler aus Rotenburg (Wümme) in Niedersachsen, der Rahmen eines Verfahrens der Staatsanwaltschaft Verden ermittelt wurde. Er habe mittlerweile ein Geständnis abgelegt und befinde sich wieder auf freiem Fuß, erklärte Frank Federau vom LKA Niedersachsen gegenüber heise online. Außerdem hätten Experten von Microsoft das Beweismaterial gesichtet und den Verdacht gegen den Schüler bestätigt.

Sasser hatte seit Ende April weltweit Millionen Computer heimgesucht. Nach Meinung von Experten waren auch einige internationale Großunternehmen von den Folgen betroffen. Ihnen entstehen zum Teil erhebliche Produktionsausfälle. Der Wurm nutzt bei nicht gepatchten Windows-2000 und XP-Systemen einen Fehler im Local Security Authority Subsystem Service (LSASS), der unter anderem zur Authentifizierung von Systemen in Netzwerken dient. Durch den Fehler ist es möglich eigenen Code in verwundbare Systeme einzuschleusen. Systeme, die bereits mit einer Sasser-Variante infiziert sind, laufen Gefahr, noch für weitere Schädlinge als Wirt zu dienen. Beispielsweise dringt Phatbot über dieselbe Sicherheitslücke in Windows-2000 und XP-Systeme ein. Zudem öffnet Sasser Hintertüren, über die zusätzliche Würmer und Trojaner eindringen können.

Quelle:Heise Meldung 08.05.2004 11:00 Uhr

Vermutlicher Sasser-Autor auch Netsky-Urheber

In einer gemeinsamen Pressekonferenz gaben das Landeskriminalamt Niedersachsen, die Staatsanwaltschaft Verden und Microsoft weitere Details zu der heute morgen gemeldeten Verhaftung des mutmaßlichen Sasser-Autors bekannt. Der 18-jährige Hobby-Programmierer soll auf seinem selbstgebauten PC nicht nur den Sasser-Wurm sondern auch alle Varianten des Netsky-Wurms erstellt und dann auch in Umlauf gebracht haben. Seine Verhaftung sei ein Meilenstein im Kampf gegen Computerkriminalität.

Die Staatsanwaltschaft ist zuversichtlich, dem Schüler nicht nur die Urheberschaft sondern auch die Verbreitung der Schädlinge nachweisen zu können, die er im übrigen auch eingestanden habe. Sie sieht damit den Straftatbestand der Computersabotage erfüllt. In seinem umfangreichen Geständnis gab der Verdächtige an, er wäre durch die in Umlauf befindlichen Viren wie Mydoom und Bagle motiviert worden, einen "Antivirus" zu entwickeln. Angespornt durch Gespräche mit Klassenkameraden entwickelte er Netsky weiter -- woraus dann schließlich auch Sasser entstanden sein soll. Da der erst kürzlich 18 gewordene einen Großteil der Taten vor seiner Volljährigkeit begangen habe, käme jedoch vermutlich das Jugendstrafrecht zur Anwendung. Zu eventuellen zivilrechtlichen Folgen der Schäden, die vermutlich im Millionenbereich anzusiedeln seien -- sofern denn Millionen ausreichten --, wollte sich die Staatsanwaltschaft nicht äußern.

Der erste Hinweis auf den Urheber kam aus dem direkten Umfeld des Verhafteten. In einem Telefonanruf bei Microsoft behauptete eine Person, die Identität des Sasser-Autors zu kennen. Auf Nachfragen lieferte sie dann auch Teile des Quellcodes, die Microsoft in forensischen Analysen als authentisch einstufte. Daraufhin schaltete Microsoft die Ermittlungsbehörden ein, die dann innerhalb kürzester Zeit reagierte und auch die Verhaftung vornahmen. Der Microsoft-Sprecher sah dies als Erfolg des Anti-Virus-Reward-Programms, das eine Prämie auf Hinweise auslobt, die zur Ergreifung und Verurteilung von Viren-Autoren führen. Bei der Frage, ob und in welcher Höhe der Hinweisgeber in diesem Fall ein solches Kopfgeld erhalte, wollte er sich jedoch nicht festlegen.

Einen direkte Verbindung zu dem ebenfalls gestern verhafteten, mutmaßlichen Phatbot-Autor sah das LKA Niedersachsen nicht. Dabei verhedderten sich die Podiumsteilnehmer allerdings in Widersprüche. So behauptete der Microsoft-Sprecher unwidersprochen, dies sei die bisher einzige bekannte Quelle für Sasser-Code. Ein anderer Podiumsteilnehmer bestätigte hingegen, dass auch gegen den Phatbot-Autor wegen Sasser ermittelt werde. Er habe wohl eine eigene Variante des Wurms in Umlauf gebracht. Die Art und Weise wie sich Phatbot beim sogenannten "Worm-Riding" die Eigenheiten von Sasser zunutze macht, lässt ebenfalls darauf schliessen, dass der Autor im Besitz des Sasser-Quellcodes war. Auf jeden Fall wollen die Landeskriminalämter Baden Württemberg und Niedersachsen ihre weiteren Ermittlungen eng koordinieren. (ju/c't)

Quelle:Heise Meldung 08.05.2004 18:56 Uhr

Meldung von www.heise.de:

"Versehentliches XP-Update legt britische Behörde lahm

Ein unbeabsichtigtes Update auf Windows XP legte diese Woche offenbar etwa drei Viertel der rund 80.000 Desktop-PCs des Department for Work and Pensions in Großbritannien lahm. Die PCs liefen bislang unter Windows 2000. Nur einige Rechner im Netzwerk sollten auf XP umgestellt werden, doch das Update verbreitete sich automatisch im Netz. Viele Rechner installierten es unvollständig und mussten mühsam wiederhergestellt werden. Von Montag bis Donnerstag dauerte dieser IT-Unfall, der zu den größten und teuersten zählen dürfte, die die britische Regierung bislang betroffen haben. (ad/c't)"

Und da behaupte nochmal jemand, dass MS Windows kein Wurm sei

Grüße,
DB - Der Birki
Bauklotz: "Wenn man den Ball lange genug befeuchtet wechselt er auch noch die Farbe von Rot auf Weiss...genial das Dingen, hatte damit immer Spass auf der Toilette."
Last public adult single rider on "Yosemite Sam Rail Road"

>Und da behaupte nochmal jemand, dass MS Windows kein Wurm sei

Ich behaupte jetzt mal ganz dreist, das an soetwas wohl kaum der Softwareprogrammierer bzw. die Softwarefirma sondern die Admins des Systems schuld sind.
Windows (egal welcher Version) neigt nämlich von sich aus nicht sich unkontrolliert auf Rechner zu verbreiten.
So etwas passiert aber wenn man automatische Softwarverteilungs und Updateserver mangelhaft konfiguriert.

Gruß Stefan

der wo sich wünscht das mehr Leute beim Lexikon mitmachen

hmm, da kenne ich aber einen Netzwerk Simulator wo das genau so funktioniert.
http://www.xbill.org/

Das Teil heisst xbill und man muss versuchen Bill Gates davon abzuhalten Windows aud die PCs zu installieren. Lustiges Spielchen für zwischendurch.

Georges