Sasser-Schnelltest

Heiko · 2 Mai 2004

Wir haben jetzt einen kostenlosen Sasser-Schnelltest aufgebaut.
Unter http://computerbetrug.de/portscan/sasser.php wird Euer Rechner auf den Wurm Sasser getestet.
Dieser Schnelltest ersetzt auf keinen Fall einen aktuellen Virenscanner, gibt aber innerhalb von maximal einer Minute einen Überblick ob der Rechner infiziert sein könnte.
Zudem gibt es Links zu weiteren Seiten.

Da sich der Wurm zur Zeit extrem stark verbreitet wird jedem Besucher nahegelegt, den eigenen Rechner überprüfen zu lassen!

Devilfrank · 3 Mai 2004

Das ist auch gut so!
Symantec hat mittlerweile Alert Category 4 von 5 ausgegeben!
http://www.symantec.com/avcenter/venc/data/w32.sasser.b.worm.html

Counselor · 3 Mai 2004

Ich habe auch noch ein paar Infos zum Sasser zusammengestellt:
http://winfaq.redirectme.net/preview/topic.aspx?topic_id=5
und Heikos Schnelltest auf meiner Seite verlinkt.

Heiko · 3 Mai 2004

Ich habe auch schon die ersten Feedbacks erhalten. Offensichtlich taugt der Schnelltest als erstes Indiz:

Liebes Computerbetrug.de Team,
nachdem sich gestern abend mein privater Rechner aus unerfindlichen Gründen mehrfach versucht hatte selbst herunterzufahren, solange ich im Net war, habe ich mir die Felermeldung genauer angeschaut.
Auslöser des Herunterfahrens war eine Datei namens Lsass.exe im Verzeichnis C:/Windows/system32.
Nachdem tagsüber im Radio vor dem Sasser-Worm gewarnt wurde, habe ich mir Ihre Seite angeschaut und den Schnellttest für den Sasser-Worm durchgeführt. Und siehe da: Mein Rechner war infiziert,und das obwohl ich am 30.04.04 ein Update meines H+BEDV-Virenscanners Antivir durchgeführt habe.
Habe dann den Patch für Microsoft heruntergeladen und das Symantec-Tool zur Entfernung…der Rechner ist nun wieder clean…allerdings konnte ich mit dem MS-Patch den Port 445 nicht schließen.
Habe dann das komplette Sicherheitsupdate von MS runtergeladen, allerdings dauerte das bei meiner normalen analogen Verbindung über ne Stunde. Werde heute abend die Updates einspielen und nochmals den Test durchführen.
Vielen Dank für die sehr guten Informationen auf Ihrer Seite.
Allerdings stimmt mich bedenklich, daß ein aktueller Virenscanner den Worm nicht erkennt!!!

Kurze Auswertung bei knapp 1.000 durchgeführtes Tests:
146 mal 445/tcp open
15 mal 5554/tcp open
4 mal 9996/tcp open

Dino · 3 Mai 2004

Um einmal auf die leichte Kritik gegen AntiVir im Zitat einzugehen:

Inzwischen werden mehrere Sasser-Verianten in der Erkennungsliste aufgeführt: A, A2, B, B2, C und D.

BenTigger · 3 Mai 2004

Vor allem, wo sein letztes Update von ihm am 30.4. war und die Sasserwürmer bei Antivir am 1.5. eingepflegt wurden. Die haben auch am Samstag und Sonntag dran gewerkelt. Heutzutage beachtenswert, wenn für kostenlose Bereitstellung auch an Feiertagen und Wochenenden gewerkelt wird !!! :bussi:

Counselor · 3 Mai 2004

An dieser Stelle ein großes Lob an Heiko. Durch solche positiven Befunde werden die Leute, die sich bisher in trügerischer Sicherheit wähnten, doch senisibilisiert. Und wenn dann noch Taten folgen und der PC sicherer wird, dann ist viel gewonnen.

Heiko · 5 Mai 2004

Nach nunmehr über 2.000 durchgeführten Tests erlaube ich mir mal, eine kurze Statistik zu veröffentlichen.
445/TCP offen bei 14,7 % der Rechner
5554/TCP offen bei 1,5 % der Rechner
9996/TCP offen bei 0,3 % der Rechner

445/TCP filtered bei immerhin 69,9 % (was keinen definitiven Rückschluß auf den eigentlichen Status zulässt)

spinne · 5 Mai 2004

@ heiko

du solltest noch dazuschreiben das der test ein sofortstartender portscan ist. (wie counselor auf seiner seite) es ist für anfänger nicht ersichtlich das die ersten zeilen schon das eigene scanergebnis ist. :cry:

keine kritik nur tip :lol:

Heiko · 5 Mai 2004

Mal sehen, wie ich das integrieren kann...

Counselor · 5 Mai 2004

Mir ist es aufgefallen, weil ich unbeabsichtigt damit den Internetgateway gescant hatte. Das macht zwar nix, war aber nutzlos.

Übrigens habe ich gerade gelesen, dass - entgegen den Angaben von MS - der ISA Server auch bei voll angezogenen Portfiltern bei Angriffen über die LSASS Sicherheitslücke crashen soll. Nach dem Patchen soll er bei sasserartigen Angriffen dann plötzlich SChannel Fehler einloggen. *Kopfschüttel*

Heiko · 5 Mai 2004

Klar. Hinter ein Gateway komme ich mit einem rein serverbasierten Scan nicht.
ISA ist eh Vollschrott.
Wenn niemand den Sasser ins Firmennetz einschleust und der Admin seine Update-Hausaufgaben gemacht hat, sollte eh nix passieren.

Counselor · 5 Mai 2004

Heiko schrieb:
Wenn niemand den Sasser ins Firmennetz einschleust ...

Genau das ist der Punkt. Das Einschleppen durch Laptopnutzer läßt sich kaum vermeiden. Die wenigen nicht gepatchten Rechner wurden einfach mit einem Zwangsrollout des Patches versehen, und bei Virenbefall mit einem Sasserentfernungstool gesäubert.

Counselor · 16 Mai 2004

Sasser Patch hat Bug betreffend IPSEC

Das Sasser-Patch hat offensichtlich einen Bug, der Komponenten von IPSEC beeinträchtigt:

Ken Smith schrieb:
Smith: Security is one. We had a buggy patch that came down to block the Sasser worm. The patch breaks other IPsec components.

http://searchwin2000.techtarget.com/qna/0,289202,sid1_gci964309,00.html?track=NL-118&ad=475025

Counselor · 9 September 2004

Der Autor von Sasser und Netsky kommt demnächst vor Gericht
http://www.silicon.de/cpo/news-antivirus/detail.php?nr=16383

Sasser-Schnelltest

Heiko

root

Devilfrank

Sehr aktiv

Counselor

Gesperrt

Heiko

root

Dino

Mitglied

BenTigger

Passiv

Counselor

Gesperrt

Heiko

root

spinne

Frisch registriert

Heiko

root

Counselor

Gesperrt

Heiko

root

Counselor

Gesperrt

Counselor

Gesperrt

Counselor

Gesperrt