Schnellhilfe: Wurm Sasser erkennen und entfernen
"Sasser" entpuppt sich als schlimmer, als erwartet
Nicht schlimm genug, dass "Sasser" bereits viele Computer lahm gelegt hat, auch bereits erste Ableger des Wurms überfluten das Netz und sorgen für weiteren Schaden. Die B-Variante wurde vom Antiviren-Spezialisten Symantec bereits von der Bedrohungsstufe vier auf fünf gestuft. Anders als andere Würmer sorgt Sasser für seine Verbreitung nicht über die bekannten Wege wie E-Mail. Dies kennen wir u.a. ja bereits schon von "Netsky" und "Bagle". Für Sasser reicht bereits eine aktive Internetverbindung beim Hochfahren des Systems und der Computer kann befallen werden.
So erkennen Sie die Infektion mit Sasser
Ganz ohne Zutun kommt "Sasser" auf den Computer und sorgt dafür, dass dieser praktisch nicht mehr zu verwenden ist. Der Rechner wird gewaltsam heruntergefahren. Dies sieht so aus:
Das System wird gewaltsam heruntergefahren
Über den Windows-Taskmanager können Sie schnell feststellen, ob "Sasser" auch Ihrem Rechner einen Besuch abstattet. Drücken Sie unter Windows die Tasten Strg-Alt-Entf: Wenn Sie einen Prozess wie "avserve.exe", "avserve2.exe" oder "skynetave.exe" sehen, ist Ihr Computer infiziert.
Im Task-Manager erscheinen verdächtige Prozesse
"Sasser" erkennt man auch an Dateien im Windows-Systemverzeichnis, deren Name mit einer beliebigen Zahlenkombination startet und darauf folgendem "_up.exe". Einfach den Task zu beenden, ist leider nicht die Lösung. "Sasser" würde sich beim nächsten Starten des Systems sofort wieder aktivier.
Die erste Hilfe: Das Herunterfahren stoppen
Als erstes sollten Sie das von "Sasser" erzwungene Herunterfahren stoppen. Im Windows-Startmenü klicken Sie dafür auf "Ausführen" und geben danach "cmd" ein und drücken einmal Enter. Jetzt geben Sie "shutdown -a" gefolgt von der Eingabetaste.
Schnellhilfe gegen Herunterfahren.
System auf den Befall mit "Sasser" überprüfen und Wurm entfernen
Die meisten Hersteller von Antiviren-Software und auch Microsoft stellen kostenfreie Tools zur Verfügung, die den Computer automatisch untersuchen und "Sasser"-Wurm ggf. vom System entfernen. Um diese Tools anzuwenden, benötigen Sie nicht einmal einen aktuellen Virenscanner. Die aktuellen Varianten werden von diesen Tools fortwährend berücksichtigt.
Link: Sasser Removal Tool von Symantec
Löcher stopfen: Den Sicherheitspatch installieren
Da der Virus eine Sicherheitslücke in Windows nutzt, die seit längerem bekannt ist und auch schon von Microsoft Mitte April per Patch geschlossen worden ist, empfielt sich ein Update des Systems. Wer auf seinem System das sogenannte "April-Update" installiert hat, wird gegen "Sasser" und alle ähnlichen Viren immun sein. Wenn Sie sich nicht sicher sind, können Sie das System mit Hilfe des "Microsoft Baseline Security Analyzer" entsprechend überprüfen. Das Tool sucht nach bekannten Sicherheitslücken und weist auf fehlende Patches hin.
Link: windowsupdate.microsoft.com
"Sasser" stellt eine neue und hinterlistige Gefahr dar
"Sasser" zeichnet eine besondere Schärfe in seinen Angriffen aus. Sind die Infektionen mit Virenkameraden wie "Netsky", "Bagle" und Co. über leichtsinnig geöffnete E-Mail-Anhänge erklärbar, kann Sasser unbemerkt eindringen. Dafür verwendet er den TCP-Port 445, somit reicht allein eine aktive Internetverbindung. Die Auswahl der Opfer erfolgt dabei durch reinen Zufall. Auf dem befallenen System "erstellt" sich "Sasser" erst einmal einige beliebige IP-Adressen. Dies dazugehörigen realen Rechner spricht darauf hin an und testet deren Sicherheit. Mit 128 gleichzeitigen Verbindungen lahmt er das System schon weitgehendst. Findet "Sasser" in seinem IP-Pool einen verwundbaren Rechner installert er sich dort über den genannten Port 445.
"Netsky" und "Bagle" sorgten vor allem für einen lahmenden E-Mail-Verkehr und zahlreich verstopfte E-Mail-Postfächer. "Sasser" hingegen läuft im Hintergrund eines Systems als Prozess, der dieses nach kurzer Zeit herunterfährt. Mit unsere Schnellhilfe konnten Sie sich hoffentlich schützen oder den Wurm erfolgreich entfernen. Haben Sie den Wurm einmal entfernt, setzen Sie bitte ab sofort einen leistungsfähigen Virenscanner und eine Firewallsoftware ein. Dies ist unabdingbar für einen langfrsitigen Systemschutz.
© 2012 FEiG & PARTNER