http://www.neuber.com/taskmanager/deutsch/prozess/lsass.exe.htmlhttp://www.microsoft.com/germany/technet/sicherheit/bulletins/ms04-011.mspxProblemumgehungen für die LSASS-Sicherheitsanfälligkeit – CAN-2003-0533
Microsoft hat die folgenden Problemumgehungen getestet. Diese Problemumgehungen beheben nicht die zugrunde liegende Sicherheitsanfälligkeit, sondern blockieren nur die bekannten Angriffsmethoden. Wenn die Funktionalität durch eine Problemumgehung verringert wird, wird diese Einschränkung im Folgenden genannt.
Erstellen Sie eine Datei namens %systemroot%\debug\dcpromo.log und setzen Sie diese in den Eigenschaften auf schreibgeschützt (read-only). Um dies zu tun, geben Sie folgenden Befehl in die Kommandozeile ein:
echo dcpromo >%systemroot%\debug\dcpromo.log & attrib +r %systemroot%\debug\dcpromo.log
Hinweis: Dies ist die effektivste Möglichkeit, die Verwundbarkeit abzuschwächen, da es den verwundbaren Code veranlasst, nie ausgeführt zu werden. Diese Problemumgehung funktioniert für Pakete, die an jeden verwundbaren Port geschickt werden.
W32.Sasser.Worm ist ein Internetwurm, der sich über eine nicht geschlossene Sicherheitslücke im Betriebssystem Windows XP, Windows 2000 verbreitet.
Es sind mehrere Varianten bekannt, die sich in ihrer Funktion nicht wesentlich unterscheiden.
Es handelt sich dabei um eine Schwachstelle im sog. Local Security Authority Subsystem Service (LSASS). Diese Schwachstelle ist seit dem 13. April 2004 bekannt. Durch einen Pufferüberlauf ist es einem Angreifer möglich, Programmcode auszuführen und somit volle Kontrolle über den angegriffenen Computer zu erlangen. Microsoft stellt eine deutsche Beschreibung dieser Sicherheitslücke zur Verfügung. Die Schwachstelle wird mit dem Sicherheits-Update KB835732 geschlossen.
Für die weitverbreiteten Betriebssysteme Windows 2000 und Windows XP stehen Updates bereit unter:
Microsoft Windows 2000 (SP2, SP3 und SP4)
Microsoft Windows XP und Microsoft Windows XP SP1
Updates für alle übrigen Windows-Betriebssysteme befinden sich in der Microsoft-Beschreibung zur Sicherheitslücke.
Der Wurm verbreitet sich nicht über E-Mail-Nachrichten. Computer mit der genannten Sicherheitslücke werden infiziert, wenn Sie Verbindung zum Internet haben. Sasser benötigt keine Aktion des Anwenders!
Bei der Infektion (oder dem Infektionsversuch) eines Systems kann es zu einer der folgenden Fehlermeldungen mit anschließendem automatischen Neustart des Systems kommen.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avserve.exe"="%windir%\avserve.exe"
wird Sasser beim Rechnerstart aktiviert.
Eine weitere Kopie des Wurms befindet sich unter:
c:\windows\system32\??_up.exe
wobei ?? beliebige Ziffern sind.
Beispiele:
c:\windows\system32\12345_up.exe
c:\windows\system32\27583_up.exe
Entfernung des Wurms Sasser
Zur Entfernung des Wurms sind folgende Schritte durchzuführen:
Vor der Entfernung muss die Sicherheitslücke des Betriebssystems geschlossen werden. Andernfalls kann es jederzeit zu einer Neuinfektion kommen, wenn der Computer ans Netz angeschlossen wird.
Kontrollieren Sie die ordnungsgemäße Installation in Systemsteuerung - Software. In der Liste der installierten Programme muss sich der Eintrag "Windows XP Hotfix - KB835732" befinden.
Laden Sie eines der unten aufgeführten speziellen Entfernungstools und durchsuchen Sie damit den Computer. Zur Verwendung der Programme müssen Sie Administrator-Berechtigung besitzen. Andernfalls erhalten Sie eine Fehlermeldung.
Symantec (FxSasser.exe): Direkt-Download oder Download mit englischer Beschreibung
NAI (Stinger.exe): Direkt-Download oder Download mit englischer Beschreibung
Bei Windows XP muss vor der Entfernung die Systemwiederherstellung deaktiviert werden.
Starten Sie den Computer im abgesicherten Modus .
Durchsuchen Sie den Computer mit dem Entfernungstool.
***
http://www.google.de/search?hl=de&q=lsass.exe+Statuscode+128+&btnG=Suche&meta=lr%3Dlang_de
