DIG Digital Corner
Alles wat je altijd al over computers, hardware, software, internet en elektronische gadgets had willen weten, maar niet op Tweakers.net durft te vragen.
Dit bericht gevonden op de site van de Telegraaf
Op de site van Windows vind je meer informatie en kan je een patch downloaden.
Samenvatting
De Sasser-worm is een worm die misbruik maakt van een ernstige kwetsbaarheid in de Local Security Authority Subsystem Service (LSASS) voor Windows 2000 en Windows XP (zie beveiligingsadvies WD-2004-082). In tegenstelling tot vele andere wormen verspreidt Sasser zichzelf niet via e-mail. Het lijkt erop dat de Sasser-worm in de komende uren of dagen steeds meer computers zal infecteren waardoor de verspreiding van de worm grootschaliger gaat worden.
Computers die aan de volgende voorwaarden voldoen, lopen het risico te worden geïnfecteerd door de Sasser-worm:
1. Het besturingssysteem van de computer is Windows 2000 of Windows XP
2. De software update uit het volgende beveiligingsadvies is nog niet geïnstalleerd:
http://www.waarschuwingsdienst.nl/render.html?it=824&cid=5
3. De computer is verbonden met het Internet zonder gebruik te maken van een firewall
De Sasser-worm infecteert computers via een poort, namelijk TCP poort 445. Computers worden automatisch geïnfecteerd zonder dat een actie (bijvoorbeeld het openen van een bestand) van een gebruiker is vereist. Meer informatie kunt u vinden onder het hoofdstuk 'Technische details'.
Nadat de computer is geïnfecteerd, installeert Sasser een backdoor op de computer. Via deze backdoor worden andere programma's geïnstalleerd op de computer. Vervolgens wordt de computer gebruikt om andere kwetsbare computers op te sporen en te infecteren.
Gevolgen
(Persoonlijke) gegevens, zoals bijvoorbeeld wachtwoorden of creditcardnummers, komen in handen van kwaadwillende.
Essentiële computerbestanden kunnen worden verwijderd, waardoor de computer niet meer werkt.
Bestanden worden herschreven waardoor deze niet meer bruikbaar zijn.
Uw computer wordt misbruikt voor verdere verspreiding van de worm.
Oplossingen
Installeer zo snel mogelijk de update voor de kwetsbaarheid in LSASS. De gemakkelijkste manier om deze update te verkrijgen is via Windows Update:
http://windowsupdate.microsoft.com
Installeer de laatste update van uw anti-virusprogrammatuur en voer vervolgens een controle uit op uw pc aan de hand van een virusscanner.
Daarnaast is het aan te raden om de volgende voorzorgsmaatregelen te nemen:
Installeer een firewall op uw computer en blokkeer de volgende poorten op de firewall: 445 (TCP), 5554 (TCP) en 9996 (TCP). Met behulp van een dergelijk programma kunt u controleren of een worm contact wil maken met andere computers.
Links
http://vil.nai.com/vil/content/v_125007.htm
http://www.f-secure.com/v-descs/sasser.shtml
http://securityresponse.s(...)w32.sasser.worm.html
http://www.sophos.co.uk/virusinfo/analyses/w32sassera.html
http://www.trendmicro.com(...)?VName=WORM_SASSER.A
http://www.pandasoftware.(...)IdVirus=46865&sind=0
Technische details
Herkenning van besmetting
Controleer op de aanwezigheid van een van de volgende bestanden:
%WinDir%avserve.exe
%WinDir%cmd.ftp
%WinDir% staat hier voor de standaard Windowsmap, dit is over het algemeen c:\windows of c:\winnt.
Kopieen van de worm worden opgeslagen in de Windows systeemmap. De name van de bestanden zijn <reeks getallen>_up.exe.
Voorbeelden:
%SysDir%11583_up.exe
%SysDir%16913_up.exe
%SysDir%29739_up.exe
%SysDir% staat hier voor de standaard Windows systeemmap, dit is C:\Winnt\System32 (Windows 2000) of C:\Windows\System32 (Windows XP).
Controleer op de aanwezigheid van de volgende register-sleutel op uw computer:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "avserve.exe" = C:\WINDOWS\avserve.exe
Voordat u deze gegevens uit het register verwijdert, is het raadzaam om een backup te maken van het register. Indien u geen ervaring heeft met het verwijderen van sleutels uit het register, raden wij uw aan om de aanpassingen uit te laten voeren door personen die gespecialiseerd zijn in Microsoft Windows.
Zodra de Sasser-worm een computer heeft geïnfecteerd, is het mogelijk dat de LSASS service crasht. Het gevolg is dat u het volgende window krijgt te zien:
Vervolgens wordt de computer afgesloten en opnieuw gestart. De worm is dan nog steeds aanwezig op de computer.
Manier van verspreiding
De Sasser-worm maakt misbruik van een ernstige kwetsbaarheid (zie beveiligingsadvies WD-2004-082) in de Local Security Authority Subsystem Service (LSASS) voor Windows 2000 en Windows XP. In tegenstelling tot vele andere wormen verspreidt Sasser zichzelf niet via e-mail. De Sasser-worm infecteert computers via TCP poort 445. Computers worden automatisch geïnfecteerd zonder dat een actie (bijvoorbeeld het openen van een bestand) van een gebruiker is vereist. Nadat de computer is geïnfecteerd, wordt een backdoor geïnstalleerd op de computer. Deze backdoor is bereikbaar via TCP poort 9996. Via de backdoor wordt het bestand cmd.ftp geplaatst. Daarna wordt het bestand uitgevoerd waardoor de geïnfecteerde computer een FTP-sessie opent naar TCP poort 5554 met de computer die verantwoordelijk is voor de infectie en downloadt de Sasser-worm. Vervolgens wordt de computer gebruikt om andere kwetsbare computers op te sporen en te infecteren.
Verwijderen:
1. Download de Sasser Remove Tool.
2. Download deze Windows patch.
3. Hierna nogmaals met de Remove Tool scannen.
[ Bericht 34% gewijzigd door Sander op 03-05-2004 17:40:55 ]
Er is nog niet veel van bekend...ook niet als je zoekt op google op 'sasser' + 'virus'quote:Een nieuw internetvirus heeft wereldwijd waarschijnlijk al miljoenen computers geïnfecteerd en verspreidt zich verder. Een Finse deskundige meldde dat zaterdag telefonisch vanuit Helsinki bij het Franse persbureau AFP. Dat was die dag zelf slachtoffer van het virus geworden en ondervond grote problemen met de verspreiding van zijn nieuws.
Het virus Sasser kan elke computer treffen die aanstaat en verbonden is met een internetprovider. In tegenstelling tot andere virussen verspreidt het zich niet via e-mail, aldus Mikko Hyppoenen, hoofd van de Finse internetbeveiligingsfirma F-Secure. Het virus sluit de computer af en start hem daarna uit zichzelf weer op en herhaalt die procedure steeds. De worm is lastig, maar niet echt schadelijk en kan relatief eenvoudig worden vernietigd.
Het virus werd in de nacht van vrijdag op zaterdag voor het eerst gesignaleerd.
Op de site van Windows vind je meer informatie en kan je een patch downloaden.
Samenvatting
De Sasser-worm is een worm die misbruik maakt van een ernstige kwetsbaarheid in de Local Security Authority Subsystem Service (LSASS) voor Windows 2000 en Windows XP (zie beveiligingsadvies WD-2004-082). In tegenstelling tot vele andere wormen verspreidt Sasser zichzelf niet via e-mail. Het lijkt erop dat de Sasser-worm in de komende uren of dagen steeds meer computers zal infecteren waardoor de verspreiding van de worm grootschaliger gaat worden.
Computers die aan de volgende voorwaarden voldoen, lopen het risico te worden geïnfecteerd door de Sasser-worm:
1. Het besturingssysteem van de computer is Windows 2000 of Windows XP
2. De software update uit het volgende beveiligingsadvies is nog niet geïnstalleerd:
http://www.waarschuwingsdienst.nl/render.html?it=824&cid=5
3. De computer is verbonden met het Internet zonder gebruik te maken van een firewall
De Sasser-worm infecteert computers via een poort, namelijk TCP poort 445. Computers worden automatisch geïnfecteerd zonder dat een actie (bijvoorbeeld het openen van een bestand) van een gebruiker is vereist. Meer informatie kunt u vinden onder het hoofdstuk 'Technische details'.
Nadat de computer is geïnfecteerd, installeert Sasser een backdoor op de computer. Via deze backdoor worden andere programma's geïnstalleerd op de computer. Vervolgens wordt de computer gebruikt om andere kwetsbare computers op te sporen en te infecteren.
Gevolgen
Oplossingen
http://windowsupdate.microsoft.com
Daarnaast is het aan te raden om de volgende voorzorgsmaatregelen te nemen:
Links
http://vil.nai.com/vil/content/v_125007.htm
http://www.f-secure.com/v-descs/sasser.shtml
http://securityresponse.s(...)w32.sasser.worm.html
http://www.sophos.co.uk/virusinfo/analyses/w32sassera.html
http://www.trendmicro.com(...)?VName=WORM_SASSER.A
http://www.pandasoftware.(...)IdVirus=46865&sind=0
Technische details
Herkenning van besmetting
Controleer op de aanwezigheid van een van de volgende bestanden:
%WinDir% staat hier voor de standaard Windowsmap, dit is over het algemeen c:\windows of c:\winnt.
Kopieen van de worm worden opgeslagen in de Windows systeemmap. De name van de bestanden zijn <reeks getallen>_up.exe.
Voorbeelden:
%SysDir% staat hier voor de standaard Windows systeemmap, dit is C:\Winnt\System32 (Windows 2000) of C:\Windows\System32 (Windows XP).
Controleer op de aanwezigheid van de volgende register-sleutel op uw computer:
Voordat u deze gegevens uit het register verwijdert, is het raadzaam om een backup te maken van het register. Indien u geen ervaring heeft met het verwijderen van sleutels uit het register, raden wij uw aan om de aanpassingen uit te laten voeren door personen die gespecialiseerd zijn in Microsoft Windows.
Zodra de Sasser-worm een computer heeft geïnfecteerd, is het mogelijk dat de LSASS service crasht. Het gevolg is dat u het volgende window krijgt te zien:
Vervolgens wordt de computer afgesloten en opnieuw gestart. De worm is dan nog steeds aanwezig op de computer.
Manier van verspreiding
De Sasser-worm maakt misbruik van een ernstige kwetsbaarheid (zie beveiligingsadvies WD-2004-082) in de Local Security Authority Subsystem Service (LSASS) voor Windows 2000 en Windows XP. In tegenstelling tot vele andere wormen verspreidt Sasser zichzelf niet via e-mail. De Sasser-worm infecteert computers via TCP poort 445. Computers worden automatisch geïnfecteerd zonder dat een actie (bijvoorbeeld het openen van een bestand) van een gebruiker is vereist. Nadat de computer is geïnfecteerd, wordt een backdoor geïnstalleerd op de computer. Deze backdoor is bereikbaar via TCP poort 9996. Via de backdoor wordt het bestand cmd.ftp geplaatst. Daarna wordt het bestand uitgevoerd waardoor de geïnfecteerde computer een FTP-sessie opent naar TCP poort 5554 met de computer die verantwoordelijk is voor de infectie en downloadt de Sasser-worm. Vervolgens wordt de computer gebruikt om andere kwetsbare computers op te sporen en te infecteren.
Verwijderen:
1. Download de Sasser Remove Tool.
2. Download deze Windows patch.
3. Hierna nogmaals met de Remove Tool scannen.
[ Bericht 34% gewijzigd door Sander op 03-05-2004 17:40:55 ]
F5 is my middle name op het DGK forum :)
ben ik even blij dat bij mij de pc die verbinding met internet maakt W98 heeft.
Dostojewski: "Je kunt je niet van je eigen gezond verstand overtuigen door je buurman op te sluiten."
http://download.zonelabs.(...)Setup_45_594_000.exe
Gratis firewall, als je die installeert ben je iig beschermd.
Is alleen nodig als je pc direct aan het internet hangt, internet je via een router of bijvoorbeeld een "multi-pc-modem", is er sowieso niets aan de hand.
Gratis firewall, als je die installeert ben je iig beschermd.
Is alleen nodig als je pc direct aan het internet hangt, internet je via een router of bijvoorbeeld een "multi-pc-modem", is er sowieso niets aan de hand.
Lachuh, een nieuw virus. Keb mijn poort-log progje weer gestart. Eens kijken wat er op binnen komt. Halverwege de MyDoom periode liep mijn logfile directory een beetje propvol. Ben benieuwd hoe hard het nu gaat....
LET OP !!!
SASSER.C EN SASSER.D zijn er ook al, van de SASSER.D is de filename welke in de proceslijst gezet word niet aserve.exe maar NETSKY.EXE
Windows 2000 machines worden niet geinfecteerd, deze worden alleen maar herstart door een RPC fout.
Windows XP (en waarschijnlijk ook Windows 2003 servers) worden wel geinfecteerd door dit virus, en worden dan ook gebruikt voor verspreiding van het virus.
SASSER.C EN SASSER.D zijn er ook al, van de SASSER.D is de filename welke in de proceslijst gezet word niet aserve.exe maar NETSKY.EXE
Windows 2000 machines worden niet geinfecteerd, deze worden alleen maar herstart door een RPC fout.
Windows XP (en waarschijnlijk ook Windows 2003 servers) worden wel geinfecteerd door dit virus, en worden dan ook gebruikt voor verspreiding van het virus.
Een vakspecialist is iemand die steeds meer weet over minder, totdat hij alles weet over niks.
Bron: http://www.mcafee.comquote:Recent Threats
W32/Sasser.worm.d Low 5/3/2004
Qhosts.apd Low 5/3/2004
W32/Bagle.aa@MM Medium 5/2/2004
W32/Sasser.worm.a Medium 5/2/2004
W32/Sasser.worm.b Medium 5/2/2004
W32/Sasser.worm.c Low 5/2/2004
edit: geen reden tot paniekerige spamposts als hierboven, dus.
12. Hoe vaak ben je bang dat je leven zonder internet vervelend, leeg en onplezierig zal zijn?
BRON: Elende en Ervaring van vandaag.quote:Op maandag 3 mei 2004 18:20 schreef TheGhost het volgende:
LET OP !!!
SASSER.C EN SASSER.D zijn er ook al, van de SASSER.D is de filename welke in de proceslijst gezet word niet aserve.exe maar NETSKY.EXE
Windows 2000 machines worden niet geinfecteerd, deze worden alleen maar herstart door een RPC fout.
Windows XP (en waarschijnlijk ook Windows 2003 servers) worden wel geinfecteerd door dit virus, en worden dan ook gebruikt voor verspreiding van het virus.
Nieuwe variant doorgestuurd naar McAfee.
Sasser.D
Een vakspecialist is iemand die steeds meer weet over minder, totdat hij alles weet over niks.
Flikker maar op dan, mijn PC zit hardstikke dicht. je hebt alleen jezelf ermee hoor.quote:Op maandag 3 mei 2004 20:44 schreef piere het volgende:
en hoe doe je dat allemaal binnen 7 minuten??
of mensen die een keer norton antivirus installeren en denken dat dan alles goed isquote:Op maandag 3 mei 2004 18:14 schreef robh het volgende:
Dat er nog mensen bestaan die zonder firewall surfen...
k'heb tot deze posting al 4 dozen ontdaan van die ellende... waarvan een hardnekkige, bleek nog wat meer virusjes te hebben waaronder eentje die telkens norton antivirus killed EN hijackthis, en ook nog alle symantec sites onbereikbaar maakte....
Roses are red, violets are blue. Invalid character '}' at line 32
Misschien moeten de bobo's van de grote ISP's eens de koppen bij elkaar steken en kijken of het niet beter is om bepaalde services te blokkeren. Ik zou dat toch wel een extra stukje service vinden. Het voorkomt een hoop ellende voor zowel ISP alswel voor de onwetende klant.quote:Op maandag 3 mei 2004 22:12 schreef spectrumanalyser het volgende:
of mensen die een keer norton antivirus installeren en denken dat dan alles goed is
k'heb tot deze posting al 4 dozen ontdaan van die ellende... waarvan een hardnekkige, bleek nog wat meer virusjes te hebben waaronder eentje die telkens norton antivirus killed EN hijackthis, en ook nog alle symantec sites onbereikbaar maakte....
Dat ben je al sinds je je speciaal registreerde om die shit te posten. Dus ik edit hem wel weg. Bovendien staat alles al in de openingspost.quote:Op maandag 3 mei 2004 22:47 schreef jurgen1982 het volgende:
Geloof dat heel nederland mijn website nu gebruikt. Ben ook in top10 van snel stijgende van netstats sta op nr3 van de top10. Ik moet al straks gaan payen voor traffic. Maar dat doe ik wel om dit probleem de wereld uit te helpen.
UBER FP
uhuh?? mis ik iets??quote:Op maandag 3 mei 2004 21:41 schreef Slarioux het volgende:
[..]
Flikker maar op dan, mijn PC zit hardstikke dicht. je hebt alleen jezelf ermee hoor.
fok you ja!
Wie zegt dat het in een keer moet?quote:Op maandag 3 mei 2004 20:44 schreef piere het volgende:
en hoe doe je dat allemaal binnen 7 minuten??
En je kan tijd winnen hoor, staat duidelijk in de link die Megumi hier onder heeft aangevoerd....
Gek, ik dacht dat het in de OP stond...
Some say the world will end in fire
Some say in ice
Times went by, many memories died
Imagination is more important than knowledge.
Some say in ice
Times went by, many memories died
Imagination is more important than knowledge.
Hier staat dat. En wel binnen de 60 seconden.quote:Op maandag 3 mei 2004 20:44 schreef piere het volgende:
en hoe doe je dat allemaal binnen 7 minuten??
http://www.blackviper.com/AskBV/tech10.htm
Wordt als iemand die voortdurend dood is. De ware volgeling van bushidõ sterft elke ochtend en avond opnieuw. En wordt niet gehinderd door angst voor de dood. Yamamoto Tsunetomo's hagakure.
is wel handig om te weten. danku!quote:Op dinsdag 4 mei 2004 08:53 schreef Megumi het volgende:
[..]
Hier staat dat. En wel binnen de 60 seconden.
http://www.blackviper.com/AskBV/tech10.htm
fok you ja!
Mijn zus d´r pc blijft steeds maar weer herstarten.
Ik denk dat dit het sasser virus is, wat is nu stap voor stap hetgeen ik moet doen om dat virus te verwijderen? Ik kan namelijk niets meer doen in windows zelf...
[ Bericht 13% gewijzigd door joostvpoppel op 04-05-2004 14:17:52 ]
Ik denk dat dit het sasser virus is, wat is nu stap voor stap hetgeen ik moet doen om dat virus te verwijderen? Ik kan namelijk niets meer doen in windows zelf...
[ Bericht 13% gewijzigd door joostvpoppel op 04-05-2004 14:17:52 ]
GVD, vanmorgen ook dit virus binnen gekregen
Het virus had het bestand VGA850.fon verneukt, nu heb ik windows op een andere schijf geinstalleerd om zo het kapotte bestand vanuit hier te kopieren naar de oorspronkelijke windows locatie. Nu heb ik dat dus gedaan maar de foutmelding blijft maar komen
Het virus had het bestand VGA850.fon verneukt, nu heb ik windows op een andere schijf geinstalleerd om zo het kapotte bestand vanuit hier te kopieren naar de oorspronkelijke windows locatie. Nu heb ik dat dus gedaan maar de foutmelding blijft maar komen
Dezz, koning van Lechland, opperbevelhebber van de Lechlandse Strijdkrachten groet U!
Advisory
This is a Medium Threat Advisory for W32/Sasser.worm.d
Justification
W32/Sasser.worm.d has been deemed Medium due to prevalence
Read About It
Information about W32/Sasser.worm.b is located on VIL at:
<http://vil.nai.com/vil/content/v_125012.htm>
Detection
W32/Sasser.worm.d was first discovered on 05/03/2004 and detection will be added to the 4357 dat files (Release Date: 05/04/2004). The EXTRA.DAT is available.
If you suspect you have W32/Sasser.worm.d, please submit a sample to http://www.webimmune.net/
Risk Assessment Definition
For further information on the Risk Assessment and AVERT Recommended Actions please see:
http://www.networkassocia(...)/risk_assessment.htm
Best Regards,
McAfee AVERT - Anti Virus and Vulnerability Research, Analysis, and
Solutions visit us at www.avertlabs.com
This is a Medium Threat Advisory for W32/Sasser.worm.d
Justification
W32/Sasser.worm.d has been deemed Medium due to prevalence
Read About It
Information about W32/Sasser.worm.b is located on VIL at:
<http://vil.nai.com/vil/content/v_125012.htm>
Detection
W32/Sasser.worm.d was first discovered on 05/03/2004 and detection will be added to the 4357 dat files (Release Date: 05/04/2004). The EXTRA.DAT is available.
If you suspect you have W32/Sasser.worm.d, please submit a sample to http://www.webimmune.net/
Risk Assessment Definition
For further information on the Risk Assessment and AVERT Recommended Actions please see:
http://www.networkassocia(...)/risk_assessment.htm
Best Regards,
McAfee AVERT - Anti Virus and Vulnerability Research, Analysis, and
Solutions visit us at www.avertlabs.com
12. Hoe vaak ben je bang dat je leven zonder internet vervelend, leeg en onplezierig zal zijn?
Dit virus was er niet geweest als er mensen met fatsoenlijke firewalls en virusscanners waren. Een firewall en virusscanner zijn zelfs gratis te krijgen..
Mocht hier nog een n00b zitten die niet beveiligd is:
Firewall: Google op 'Sygate Personal Firewall' (Een van de betere gratis firewalls)
Virusscanner: Google op 'AntiVir' of 'AVG'
Mocht hier nog een n00b zitten die niet beveiligd is:
Firewall: Google op 'Sygate Personal Firewall' (Een van de betere gratis firewalls)
Virusscanner: Google op 'AntiVir' of 'AVG'
|
|
