Sasser/Blaster Wurm

Viren, Spyware, Datenschutz 11.259 Themen, 94.812 Beiträge

Sasser/Blaster Wurm

Zauriel am 14.03.2006, 16:02 / 6 Antworten / Baumansicht

Hi zusammen.
Ein bekannter von mir hat sich am Sonntag nen Sasser eingefangen und mich um Hilfe gebeten. Hab mich kurz schlau gemacht und die üblichen Maßnahmen ergriffen. Nun stellt sich folgendes Problem, der PC fährt runter auch nachdem ich shutdown -a eingegeben habe.
Die Systemwiederherstellung habe ich mittlerweile ausschalten können, nur wenn ich dann im abgesicherten Modus neu starte und die Stinger /Fix-Blast laufen lasse, oder versuche den Windows Hotfix einzuspielen kommt die übliche "Der PC wird runtergefahren"-Meldung und ich kann auch mit shutdown -a nichts dagegen tun, ist im Windows Normalbetrieb auch so.
Ich geben den Befehl während des Countdowns ein und er fährt trotzdem runter. Einmal hats geklappt und er ist nich runtergefahren, aber dafür war das komplette System eingefroren.
Jemand ne Idee oder n Tip ?

Mario32

Zauriel „Sasser/Blaster Wurm“

14.03.2006, 18:03 Optionen

Über diese RPC Lücke wurde dann jetzt Schadcode in das System eingeschleust.
Der einzig sinnvolle Tip lautet dieses kompromittierte System zu beseitigen.

Ich wurde gehackt - was nun ?
http://www.nickles.de/c/s/26-0029-365-1.htm

xafford

Zauriel „Sasser/Blaster Wurm“

15.03.2006, 11:44 Optionen

Das klingt alles etwas seltsam, denn eigentlich fährt der Rechner nicht als Folge eines Befalls mit Sassers herunter, sondern dann, wenn Sasser eine erfolglose Attacke versucht hat. Das ganze hat einen relativ einfachen Grund. Sasser nutzt einen Exploit, der auf Windwos2000 und WindowsXP jeweils einen anderen Angriffscode benötigt. Da Sasser vorher nicht weiß, welches System er da zu infizieren versucht macht er es ganz banal, er wechselt zufällig den Schadcode. Dies hat zur Folge daß der angegriffene Dienst abstürzt, wenn er den falschen Code erwischt hat. Hat er also ein XP-System mit Windows2000-Code angegriffen, dann stürzt der angeriffene Dienst ab und das System fährt herunter.
Das würde aber bedeuten, daß das System eine Onlineverbindung hat während Du den Hotfix einspielen willst. Falls dies soweit zutrifft solltest Du den Hotfix erst einmal mit einem sauberen System herunter laden und offline installieren oder für die Zeit bis zum Fix die Firewall im System aktivieren.

Zauriel

xafford „Das klingt alles etwas seltsam, denn eigentlich fährt der Rechner nicht als...“

15.03.2006, 12:23 Optionen

Danke für eure Hinweise, hatte aber die Schnauze vom ewigen rebooten voll und habs anders gelöst.
Hab die HD ausgebaut und an ein isolierten 2.PC angeschlossen den ich vorher mit allen Updates, Hotfixes und Anti-Viren Software vollgepackt habe.
Dann die Tools und Virensoftware über die 2. Platte laufen lassen und fertig.
Sicher nicht ganz risikofrei, aber es hat geklappt.

holleberlin

xafford „Das klingt alles etwas seltsam, denn eigentlich fährt der Rechner nicht als...“

15.03.2006, 12:29 Optionen

das ist zwar eine interessante theorie, aber definitiv falsch, denn ich kann mich genau entsinnen, genug verseuchte rechner isoliert hier in der werkstatt gehabt zu haben, die also ohne jede internetverbindung trotzdem runtergefahren sind.

von deiner version hab ich auch noch nie gehört ehrlich gesagt, alle rechner, die runterfuhren, hatten auch sasser bereits drauf. kannst du das irgendwie belegen ?

xafford

holleberlin „das ist zwar eine interessante theorie, aber definitiv falsch, denn ich kann...“

15.03.2006, 12:50 Optionen

Du hast recht, ich habe Sasser und Blaster durcheinander geschmissen. Sasser fährt ein System auch bei Befall in zufälligen Zeitabständen herunter. Der Absturz bei felschem Shellcode gehörte zu Blaster.

globalmensch

xafford „Du hast recht, ich habe Sasser und Blaster durcheinander geschmissen. Sasser...“

15.03.2006, 15:13 Optionen

....so ein Blaster oder Sasser Wurm auf ein System trifft, mit dem er nichts anfangen kann ....

Beispiel:

Zeta, IBM OS/2 und dergleichen?

Er kann die Windows Lücke nicht finden, doch was passiert?