Wurm Sasser entfernen

Nachdem es nun langsam ruhiger um den Blaster- / Lovesan Wurm wurde, macht sich bereits der nächste Wurm auf den Weg PC’s zu infizieren. Ähnlich wie der Blaster-Wurm nutzt auch der Wurm Sasser eine Sicherheitslücke in Windows 2000 und Windows XP aus.

Diese Sicherheitslücke befindet sich in LSASS (Local Security Authority Subsystem Service). Wird diese Sicherheitslücke erkannt, kann sich der Wurm installieren und scannt gleich nach weiteren Rechnern, die er befallen kann. Der Wurm nutzt dabei eine eigene FTP-Routine um sich zu verbreiten.

Der Wurm kopiert sich in das Windows Verzeichnis als AVSERVE.EXE und legt einen Eintrag in der Registrierung an, damit er beim nächsten Systemstart automatisch gestartet wird:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
„avserve.exe“=“C:\\%WinDir%\\avserve.exe“

Außerdem wird direkt auf Laufwerk C: eine Datei namens WIN.LOG erstellt.

Entfernung:

Am einfachsten geht es natürlich mit einem aktuellen Antivirenprogramm oder dem von Microsoft bereitgestellten Removal Tool. Aber auch manuell ist eine Entfernung möglich.

Dazu startet man den Rechner im abgesicherten Modus ( Taste F8 drücken bevor Windows-Logo erscheint ) und lässt den Rechner nach einer avserve.exe suchen. Diese wird sich im Windows-Verzeichnis befinden. Diese Datei sollte dann gelöscht werden. Außerdem können sich im Windows-Unterverzeichnis System oder System32 noch .exe Dateien befinden deren Namen aus einer Zahlenkombination und _up.exe ( z.b. 12345_up.exe ) bestehen. Diese Dateien ebenfalls löschen. Nun noch die Autostarteinträge in der Registrierung oder mit Hilfe von msconfig löschen und den Rechner neu starten.

Als Abschluss unbedingt den Patch installieren um eine erneute Infektion zu verhindern.

Link zum Patch: http://www.microsoft.com/

Link zum Removal Tool: Download