Achtung, neuer Virus

[Labbeduddel112]

Jup, den PC von meinen Eltern hats erwischt!

Sympthome wie beim Blastervirus, das Ding mit dem Shutdown gleich nach dem hochfahren.

Das Ding heist w32.Sasser.B.Worm und kommt über eine Lücke im IE (wo auch sonst).

Der Dreckskerl legt alle halbe Stunde auch noch eine neue Virendatei an!

Ich kotz bald!!!!!

[Hunter]

Sasser.B is an Internet worm spreading through the MS04-011 (LSASS) vulnerability.

wer rechtzeitig patcht hat mehr vom PC

[Schnuffz]

Tipp für alle :

die betreffenden Dateien heissen : avserve2.exe oder auch nur avserve.exe -> löschen (im windows verzeichnis zu finden...) PAPIERKORB LEEREN !!!!!
zudem kopiert sich der Wurm in eine Datei die aus vorwiegend Zahlen besteht, diese auch löschen, am besten zu finden über Windows Explorer, C: durchuschen, nach allen .exe Dateien, die am Tag des Befalls erstellt wurden, so findet man sie... die heisst dann z.B. 75650578975_up.exe oder ähnlich...

zweite Möglichkeit : Virenkiller installieren und unter ABGESICHERTEM Modus durchscannen, dann kriegt man ihn auch...

danach SCHNELL Windows updaten...

Grüssle

S.

[Nainkonami]

Schützen Router eigentlich in irgendeiner Weise auch vor Würmern ?

[Spike]

Ja.
Ich hab ihn auch auf meinem Zweitrechner gehabt, mit aktivierter MS-Firewall (son Dreck) und ich hab nicht den IE benutzt
Also Inetverbindung reicht.

[Spike]

Btw hier gibts auch ein Removal Tool:
http://securityresponse.symantec.com/av ... .tool.html

Wer das von Hand macht sollte auch die Registry säubern, die Prozesse abschiessen sowie die Systemwiederherstellung ausschalten (XP):
http://www.symantec.com/avcenter/venc/d ... .worm.html

Es gibt mittlerweile sogar eine C-Variante.
Also alle Patchen bevor einer geschrieben wird der WIRKLICH Schaden macht.

P.S.
Für Leute ohne guten Virenscanner:
Der Stinger tuts auch zum entfernen.

[Tempel]

Schützen Router eigentlich in irgendeiner Weise auch vor Würmern ?

Ich denke schon, da defaultmäßig viele Ports, über die sich Würmer verbreiten, geschlossen sind. Letztes Jahr habe ich mitbekommen, daß eigentlich nur Leute mit Router von Blaster nicht betroffen waren.

Trotzdem wird es immer noch auf die Art des Routers und die Art der Einstellung ankommen, ob etwas passiert oder nicht...

BTW, Spike:
Gute Info -
habe ich mir vorbeugend schonmal beiseite gelegt und meiner Mutter und besseren Hälfte schon mal das Tool vorsorglich per Mail geschickt...

[Spike]

News auf Heise.de

[Hunter]

Removal Tool von M$
Infos dazu

[Tempel]

Zum Thema Router:

Geschützt von der schnellen Verbreitung sind wieder einmal alle Router-Besitzer, da der Hardware- oder Linux-Router nicht vom Wurm befallen werden kann. Die Datei aus dem Internet kann nicht auf die betroffenen Systeme hinter dem Router aufgespielt werden. Allerdings besteht auch hier die Gefahr durch infizierte Emails, sodass diese Anwender den Patch ebenfalls einspielen sollten.

http://www.tweakpc.de/mehr.php?news_id=5851

[Tempel]

Ohoh -
seit eben ist unser Mailserver platt!

Das hatten wir zuletzt letztes Jahr bei der Blaster-Attacke.

Wenn das wirklich damit zusammenhängt wäre das in der Tat eine Riesen-Blamage für unsere EDV!

[Spike]

Also bei uns kommen jetzt ca 600 Spam-Mails täglich rein (bei ca 40 Hausadressen). Explodiert ist das erst vor 2 Monaten, komisch, oder?

[Cripple]

spam oder viren ?

[Spike]

Spam. Virenmails sind für mich auch Spam.

[Cripple]

hmmmmm nuja.. spam is für mich der ganze viagra kack da...
is ja auch wurscht

[Tempel]

Also Spam hält sich bei uns (noch) in Grenzen. Scheinbar haben die das mit dem Filtern im Griff - ich bekomme noch nicht mal eine täglich (im Verhältnis zu ca. 50 geschäftlichen...)

Letzte Woche hatten wir mal kurzzeitig das problem Spam aus "trusted sources", sprich Adressen von Kollegen oder Geschäftskontakten, zu bekommen.

Aber das war auch wirklich nur an einem Tag...

[Spike]

Jo is Wurscht
Spam sind ganz einfach unerwünschte Emails. Virenmails gehören dazu.

[Spike]

Bericht auf Spiegel.de

Mal wieder hats diesselbe Windows-Sicherheitslücke in die Nachrichten geschafft. Gratulation M$.

[Cripple]

muha das bild mit der schlange is ja krass...

[iglo]

Die Windows-Update-Funktion gibts wirklich! Im Startmenü!

[Spike]

Ja iglo, aber da M$ ja nur 4wöchentlich updated, und die meisten das Update sicherlich NICHT drinhaben (ich check das auch nicht täglich), passiert sowas

Eh, und wenn die ordentlich Patchen würden ... aber SP2 dauert noch was (und bringt wieder 1000 andere Lücken).

[iglo]

Der Exploit nutzt einen Bug der bereits per Update zu beheben war (schon vor Wochen).

[Spike]

Nöö, zwischen Bekanntwerden und Behebung des Exploits lagen 16 Tage.
Ich hab nach der Junien nochmal Win Update gemacht auf meinem Zweitrechner, und hab ihn trotzdem (und das obwohl XP-FW an war, Drecksteil ich wusste das die nix taugt).

[Hunter]

Nun, es ist eine Windows-FW - und der Port ist ein Windows-Port - da hatte sie wohl einen Gewissenskonflikt

[Spike]

Jo, musste nur die Sygate-FW deinstallieren weil ich zu blöd war (oder weil die Software nicht wollte) Sacred im LAN ans laufen zu bekommen.
... also Sygate schnell wieder druff.

[Spike]

Gestern eine Email bei uns in der Firma so:

Wegen Systemabsturz bei der Deutschen Post gibt es heute keine Post.

Ich les heute auf Spiegel.de so:

Auf Nullversorgung hat Sasser offenbar auch die Bank-Rechner der Deutschen Post gesetzt, wie die Hannoversche "Neue Presse" berichtet - wenn auch auf eigentümlich indirekte Art und Weise: Der Grund liegt dem Blatt zufolge darin, dass die Post angesichts der Warnungen vor "Sasser" ihren Virenschutz derart stark erhöht habe, dass die Rechner in den Filialen nur noch eingeschränkt funktioniert hätten.

...

Es handele sich um die bisher längste Panne in der Geschichte des Unternehmens, von der rund 300.000 Post-Computer im ganzen Bundesgebiet betroffen seien. Frei nach dem Motto: Ein Rechner, zu dem die eigenen Mitarbeiter keinen Zugang mehr haben, ist auch vor Schädlingen geschützt.

http://www.spiegel.de/netzwelt/technolo ... 56,00.html

Muhahahaha wie peinlich. Waren nicht nur die Bank-Rechner

[Tempel]

Neue Rundmail in unserer Firma:

Virusangriff - Sofortige AKTION Nötig!!!!

Unser Netzwerk hat den „Sasser“ Wurm erfassen. Wir bitten sie deshalb sofort folgende Schritte zu folgen damit ihr PC von diesen Wurm geschützt bleibt.

1. Speichern und schließen sie alle Programme außer Email.
2. Klicken sie auf diesem Link: <\\raudc701\apps\patch\start_neu.bat>
3. Haben sie etwas Geduld denn es kann eine Weile dauern, überhaupt wenn mehrere MA gleichzeitig zugreifen.
4. Nach der Installation, fährt ihr PC automatisch runter und wieder hoch.
5. Falls der Zugriff verweigert wird, bitte ich sie ein paar Minuten zu warten und dann noch mal zu probieren.
6. Falls Probleme, bitte rufen sie den Helpdesk an: 00800 10 20 40 50

Danke für ihre Unterstützung

Ich werde noch narrisch! Zu hause weiss man Bescheid und trifft alle nörigen Vorkehrungen und hier bekommen es die Flitzpiepen, die dafür bezahlt werden, nicht gebacken!

UNFASSBAR!

[Hunter]

Ähh... Tempel - was habt ihr denn da für fähige Admins - die können ja wohl noch nicht mal "Administrator" schreiben...

hat bei euch eigentlich jeder Mitarbeiter lokale Adminrechte ?!?

[Spike]

Naja, wenn ich daran denke das der Chef hier evtl seinen Laptop ins Firmennetzwerk einklinkt, und damit vorher via ISDN rumgesurft ist *narf*

*LAN-Firewall aktivier*

[Tempel]

Also bei uns haben PC-Anwender nur Userrechte.

Gefahr besteht eher von seiten der Notebook-User - die haben Admin-Rechte!

Und auf diesem Wege ist das Teil auch wohl hier rein gekommen...