Netzwerk-Wurm Sasser
Maßnahmen zu Schutz und Entfernung


Seit der Nacht vom 30.04. zum 01.05. verbreitet sich der Windows Netzwerkwurm Sasser zunehmend stark. Er ist inzwischen in den sechs Varianten a bis f im Umlauf (Stand: 11.05., 20 Uhr).


Betroffene Systeme:
  • Windows 2000, Windows XP, Windows Server 2003

Nicht betroffen:
  • Windows 95, Windows 98, Windows ME, Windows NT 4.0


A.) Symptome:

a.) Bei allen Varianten:
  1. Es erscheint eine Meldung, dass das System heruntergefahren werden muss ("System herunterfahren"). Dies kann auch geschehen, ohne dass später eine Wurmdatei auf dem System gefunden wird!
  2. Ggf. wird die Info ausgegeben: "lsass.exe - Fehler in Anwendung".
  3. Oder: "LSA Shell (Export Version) hat einen Fehler ermittelt und musste beendet werden".
  4. Sasser nutzt die AbortSystemShutdown-API, um Versuche zu unterbinden, das System herunterzufahren oder neu zu starten.

b.) Unterschiedlich, je nach Wurmvariante:
  1. Sasser.a
    Folgende Dateien werden erzeugt:
    avserve.exe im Windows-Verzeichnis ("WINNT" bei Windows 2000 und "Windows" bei Windows XP);
    xxxxx_up.exe im Windows-Verzeichnis, wobei xxxxx für eine zufällig generierte vier- oder fünfstellige Zahl steht;
    win.log im Rootverzeichnis (C:), also C:\win.log;

    In die Registry erfolgt dieser Eintrag:
    Pfad zur avserve.exe in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  2. Sasser.b
    Folgende Dateien werden erzeugt:
    avserve2.exe im Windows-Verzeichnis ("WINNT" bei Windows 2000 und "Windows" bei Windows XP);
    xxxxx_up.exe im Windows-Verzeichnis, wobei xxxxx für eine zufällig generierte vier- oder fünfstellige Zahl steht;
    win2.log im Rootverzeichnis (C:), also C:\win2.log;

    In die Registry erfolgt dieser Eintrag:
    Pfad zur avserve2.exe in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  3. Sasser.c
    Siehe Sasser.b. Die bestehenden Unterschiede sind an dieser Stelle (hinsichtl. Schutz und Entfernung) nicht relevant.

  4. Sasser.d
    Folgende Dateien werden erzeugt:
    skynetave.exe im Windows-Verzeichnis ("WINNT" bei Windows 2000 und "Windows" bei Windows XP);
    win2.log im Rootverzeichnis (C:), also C:\win2.log;
    xxxxx_up.exe im Windows-Verzeichnis, wobei xxxxx für eine zufällig generierte vier- oder fünfstellige Zahl steht;

    In die Registry erfolgt dieser Eintrag:
    Pfad zur skynetave.exe in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  5. Sasser.e
    Folgende Dateien werden erzeugt:
    lsasss.exe im Windows-Verzeichnis ("WINNT" bei Windows 2000 und "Windows" bei Windows XP);
    xxxxx_up.exe im Windows-Verzeichnis, wobei xxxxx für eine zufällig generierte vier- oder fünfstellige Zahl steht;
    ftplog.txt im Rootverzeichnis (C:), also C:\ftplog.txt;

    In die Registry erfolgt dieser Eintrag:
    Pfad zur lsasss.exe in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  6. Sasser.f
    Folgende Dateien werden erzeugt:
    napatch.exe im Windows-Verzeichnis ("WINNT" bei Windows 2000 und "Windows" bei Windows XP);
    xxxxx_up.exe im Windows-Verzeichnis, wobei xxxxx für eine zufällig generierte vier- oder fünfstellige Zahl steht;
    winlog2 im Rootverzeichnis (C:), also C:\winlog2;

    In die Registry erfolgt dieser Eintrag:
    Pfad zur napatch.exe in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run


B.) Ursache:

Dieser Wurm gelangt über eine Sicherheitslücke in Windows im "Local Security Authority Subsystem Service" (LSASS) auf nicht gepatchte Systeme, das heißt auf Systeme, für die diese Sicherheitsupdates von Mitte April 2004 nicht installiert wurden. Achtung! Die Datei lsass.exe selbst ist nicht der Wurm. Es handelt sich dabei um eine Windows Systemdatei!

Für eine Infektion reicht - unter obiger Voraussetzung - also bereits das bloße Herstellen einer Internetverbindung aus! Allerdings muss nicht zwangsläufig jede lsass-Fehlermeldung auf eine erfolgte Installation des Wurmes hindeuten - auch ein fehlgeschlagener Installationsversuch kann derartige Meldungen zur Folge haben. Ob nun eine wurmtypische Datei auf dem System entdeckt werden kann oder nicht - auf den fehlenden Patch sind diese Probleme in jedem Fall ein Hinweis.

Hier die Patches (Deutsche Versionen) zum Direktdownload für die beiden gängigsten Betriebssysteme Windows 2000 und Windows XP:


C.) Vorgehen beim Auftreten der Symptome:
  1. Ein durch den Wurm verursachter Systemshutdown kann wie folgt abgebrochen werden: Start, Ausführen aufrufen, dort shutdown -a eingeben und Enter drücken.
  2. Den passenden Patch für das Betriebssystem laden (siehe oben).
  3. Ein passendes Entfernungstool laden:
    - SSRCLEAN von Eset für Sasser.a bis .e
    - Stinger von NAI für Sasser.a bis .e
    - Antisasser-EN von Bitdefender für Sasser.a bis .f
  4. Die Internetverbindung beenden.
  5. Das Entfernungstool ausführen (dazu die Datei SSRCLEAN.exe, stinger.exe bzw. sassgui.com doppelklicken). Zudem bitte die Hinweise zur manuellen Entfernung unter C.) 8. und C.) 9. auf dieser Seite beachten, sowie die wichtigen Hinweise zum Neuaufsetzen des Systems nach einer Kompromittierung durch Schadsoftware!
  6. Windows im abgesicherten Modus neu starten.
  7. Für Windows XP: Systemwiederherstellung deaktivieren. Dieser Schritt entfällt bei Windows 2000.
  8. Trotzdem das Entfernungstool bereits ausgeführt wurde, empfehle ich dennoch: Auf dem System nach den oben erwähnten Dateien avserve.exe, avserve2.exe, skynetave.exe, lsasss.exe, napatch.exe, win.log bzw. win2.log, ftplog.txt, winlog2 sowie xxxxx_up.exe suchen und diese, falls sie gefunden werden, löschen.
    Hinweis: Eine Suche nach xxxx_up.exe erfolgt in Windows über die Sucheingabe: *_up.exe. Das kleine Sternchen ersetzt also die zufällig generierten Zahlen.)
    Falls sich avserve.exe, avserve2.exe, skynetave.exe oder lsasss.exe nicht löschen lassen, muss zuvor mittels Strg + Alt + Entf der Taskmanager aufgerufen werden. Dort kann man diese Prozesse markieren und beenden, um die Dateien anschließend per Hand aus dem Windows-Ordner herauszulöschen.
  9. Die Registry-Einträge unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, die auf avserve.exe, avserve2.exe, skynetave.exe, lsasss.exe oder napatch.exe verweisen, müssen ebenfalls gelöscht werden. Dies ist z.B. mit HijackThis komfortabel möglich. HijackThis ist dazu gemäß Anleitung auszuführen, dann wird der entsprechenden Registry-Eintrag markiert und mittels "Fix checked" entfernt.
  10. Nun die Patchdatei Windows2000-KB835732-x86-DEU.EXE (für Windows 2000) bzw. WindowsXP-KB835732-x86-DEU.EXE (für Windows XP) ausführen (doppelklicken), um dem Patch zu installieren.
  11. Windows neu starten.
  12. Ins Internet einwählen und sofort http://windowsupdate.microsoft.com aufsuchen, um alle weiteren aktuellen Patches zu installieren.


D.) Wichtige Hinweise:

Mit Hilfe der erläuterten Maßnahmen können der offensichtliche Wurm entfernt sowie die Sicherheitslücke geschlossen werden, über die sich dieser Wurm verbreitet.

Das heißt aber ausdrücklich nicht, dass damit ein sauberes System sichergestellt ist, denn eine Systemkompromittierung, also ein Befall mit einem Wurm oder einer anderen Schadsoftware sollte immer ein Neuaufsetzen des Systems nach sich ziehen. Nur auf diese Weise ist wieder ein vertrauenswürdiges System zu gewährleisten, mit dem man auch beruhigt arbeiten kann.

Allerdings müssen dann vor der ersten Internetverbindung die hier erläuterten Absicherungsmaßnahmen getroffen werden. Heißt also: Einspielen von Service-Packs und Patches, Konfigurieren der Dienste.

Des Weiteren ist im Allgemeinen das stete Aktuellhalten des Betriebssystems, also auch das Versorgen mit wichtigen Sicherheitsupdates ein Muss für jeden Internetnutzer. Alle 14 Tage sollte z.B. über einen Besuch der Seite http://windowsupdate.microsoft.com geprüft werden, ob neue Patches zur Verfügung stehen. Weitere Updatemöglichkeiten:

  1. Das c't Offline Update vom heise-Verlag.
  2. Diese großen Update-Pakete finden sich auch auf einigen Zeitschriften-CD's. Hier gilt ebenso: die aktuellsten Patches sind aus dem Internet nachzuladen.
  3. Aktivieren des Windows Auto-Updates.



© Markus Klaffke 2004-2011 | Kommentare, Anregungen, Verbesserungsvorschläge bitte an die hier abrufbare Adresse mailen - vielen Dank!