# Sasser-Schnelltest



## Heiko (2 Mai 2004)

Wir haben jetzt einen kostenlosen Sasser-Schnelltest aufgebaut.
Unter http://computerbetrug.de/portscan/sasser.php wird Euer Rechner auf den Wurm Sasser getestet.
Dieser Schnelltest ersetzt auf keinen Fall einen aktuellen Virenscanner, gibt aber innerhalb von maximal einer Minute einen Überblick ob der Rechner infiziert sein könnte.
Zudem gibt es Links zu weiteren Seiten.

Da sich der Wurm zur Zeit extrem stark verbreitet wird jedem Besucher nahegelegt, den eigenen Rechner überprüfen zu lassen!


----------



## Devilfrank (3 Mai 2004)

Das ist auch gut so!
Symantec hat mittlerweile Alert Category 4 von 5 ausgegeben!
http://www.symantec.com/avcenter/venc/data/w32.sasser.b.worm.html


----------



## Counselor (3 Mai 2004)

Ich habe auch noch ein paar Infos zum Sasser zusammengestellt:
http://winfaq.redirectme.net/preview/topic.aspx?topic_id=5
und Heikos Schnelltest auf meiner Seite verlinkt.


----------



## Heiko (3 Mai 2004)

Ich habe auch schon die ersten Feedbacks erhalten. Offensichtlich taugt der Schnelltest als erstes Indiz:


> Liebes Computerbetrug.de Team,
> nachdem sich gestern abend mein privater Rechner aus unerfindlichen Gründen mehrfach versucht hatte selbst herunterzufahren, solange ich im Net war, habe ich mir die Felermeldung genauer angeschaut.
> Auslöser des Herunterfahrens war eine Datei namens Lsass.exe im Verzeichnis C:/Windows/system32.
> Nachdem tagsüber im Radio vor dem Sasser-Worm gewarnt wurde, habe ich mir Ihre Seite angeschaut und den Schnellttest für den Sasser-Worm durchgeführt. Und siehe da: Mein Rechner war infiziert,und das obwohl ich am 30.04.04 ein Update meines H+BEDV-Virenscanners Antivir durchgeführt habe.
> ...


Kurze Auswertung bei knapp 1.000 durchgeführtes Tests:
146 mal 445/tcp  open
15 mal 5554/tcp open
4 mal 9996/tcp open


----------



## Dino (3 Mai 2004)

Um einmal auf die leichte Kritik gegen AntiVir im Zitat einzugehen:

Inzwischen werden mehrere Sasser-Verianten in der Erkennungsliste aufgeführt: A, A2, B, B2, C und D.


----------



## BenTigger (3 Mai 2004)

Vor allem, wo sein letztes Update von ihm am 30.4. war und die Sasserwürmer bei Antivir am 1.5. eingepflegt wurden. Die haben auch am Samstag und Sonntag dran gewerkelt. Heutzutage beachtenswert, wenn für kostenlose Bereitstellung auch an Feiertagen und Wochenenden gewerkelt wird !!! :bussi:


----------



## Counselor (3 Mai 2004)

An dieser Stelle ein großes Lob an Heiko. Durch solche positiven Befunde werden die Leute, die sich bisher in trügerischer Sicherheit wähnten, doch senisibilisiert. Und wenn dann noch Taten folgen und der PC sicherer wird, dann ist viel gewonnen.


----------



## Heiko (5 Mai 2004)

Nach nunmehr über 2.000 durchgeführten Tests erlaube ich mir mal, eine kurze Statistik zu veröffentlichen.
445/TCP offen bei 14,7 % der Rechner
5554/TCP offen bei 1,5 % der Rechner
9996/TCP offen bei 0,3 % der Rechner

445/TCP filtered bei immerhin 69,9 % (was keinen definitiven Rückschluß auf den eigentlichen Status zulässt)


----------



## spinne (5 Mai 2004)

@ heiko  

du solltest noch dazuschreiben das der test ein sofortstartender portscan ist. (wie counselor auf seiner seite)  es ist für anfänger nicht ersichtlich das die ersten zeilen schon das eigene scanergebnis ist. :cry: 

keine kritik nur tip  :lol:


----------



## Heiko (5 Mai 2004)

Mal sehen, wie ich das integrieren kann...


----------



## Counselor (5 Mai 2004)

Mir ist es aufgefallen, weil ich unbeabsichtigt damit den Internetgateway gescant hatte. Das macht zwar nix, war aber nutzlos.

Übrigens habe ich gerade gelesen, dass - entgegen den Angaben von MS - der ISA Server auch bei voll angezogenen Portfiltern bei Angriffen über die LSASS Sicherheitslücke crashen soll. Nach dem Patchen soll er bei sasserartigen Angriffen dann plötzlich SChannel Fehler einloggen. *Kopfschüttel*


----------



## Heiko (5 Mai 2004)

Klar. Hinter ein Gateway komme ich mit einem rein serverbasierten Scan nicht.
ISA ist eh Vollschrott.
Wenn niemand den Sasser ins Firmennetz einschleust und der Admin seine Update-Hausaufgaben gemacht hat, sollte eh nix passieren.


----------



## Counselor (5 Mai 2004)

Heiko schrieb:
			
		

> Wenn niemand den Sasser ins Firmennetz einschleust ...


Genau das ist der Punkt. Das Einschleppen durch Laptopnutzer läßt sich kaum vermeiden. Die wenigen nicht gepatchten Rechner wurden einfach mit einem Zwangsrollout des Patches versehen, und bei Virenbefall mit einem Sasserentfernungstool gesäubert.


----------



## Counselor (16 Mai 2004)

*Sasser Patch hat Bug betreffend IPSEC*

Das Sasser-Patch hat offensichtlich einen Bug, der Komponenten von IPSEC beeinträchtigt:


			
				Ken Smith schrieb:
			
		

> Smith: Security is one. We had a buggy patch that came down to block the Sasser worm. The patch breaks other IPsec components.


http://searchwin2000.techtarget.com/qna/0,289202,sid1_gci964309,00.html?track=NL-118&ad=475025


----------



## Counselor (9 September 2004)

Der Autor von Sasser und Netsky kommt demnächst vor Gericht
http://www.silicon.de/cpo/news-antivirus/detail.php?nr=16383


----------

