Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

Neues von Sasser: So wird man das Virus wieder los

Wenige Tage nach Auftreten des Sasser-Virus kursieren bereits erste Varianten. Der Virenautor hat dazugelernt, die neuen, effektiveren Versionen "erlegen" auch größere Unternehmen. Andere erledigen sich aus Nervosität selbst. SPIEGEL ONLINE verrät, wie man den Störenfried angstfrei wieder los wird.

Weg mit dem Müll: Sasser ist ein Quälgeist, doch er lässt sich relativ leicht entsorgen
DPA

Weg mit dem Müll: Sasser ist ein Quälgeist, doch er lässt sich relativ leicht entsorgen

Sasser.B, C und D haben ihrem Vorläufer einiges voraus, bewegen sich mit erheblicher Geschwindigkeit durchs Internet. Weil sie dabei den infizierten Rechner als "Funkstation" nutzen, geht dessen Leistung ganz erheblich in die Knie: Der Verbreitungsmechanismus der Sasser-Würmer beruht auf dem Prinzip, vom infizierten Rechner aus willkürlich zusammengestellte IP-Adressen testweise "anzufunken" und auf die Windows-Schwachstelle zu prüfen, die sie für ihre Attacke nutzen. Heraus kommt eine Virenverbreitung völlig ohne Zutun des PC-Nutzers.

Dagegen muss man sich schützen, weil "Vorsicht" hier nicht mehr reicht: Entweder, Netzwerk und Rechner sind dicht - oder sie sind es nicht.

Echte "Abschüsse", peinliche Pannen

Nicht dicht waren schon am Wochenende die Rechner der Nachrichtenagentur AFP, die darum erhebliche Probleme hatte, ihre Kunden zu versorgen.

Auf Nullversorgung hat Sasser offenbar auch die Bank-Rechner der Deutschen Post gesetzt, wie die Hannoversche "Neue Presse" berichtet - wenn auch auf eigentümlich indirekte Art und Weise: Der Grund liegt dem Blatt zufolge darin, dass die Post angesichts der Warnungen vor "Sasser" ihren Virenschutz derart stark erhöht habe, dass die Rechner in den Filialen nur noch eingeschränkt funktioniert hätten.

Dadurch hätten zahllose Kunden am Postschalter kein Geld mehr abheben oder einzahlen können. Es handele sich um die bisher längste Panne in der Geschichte des Unternehmens, von der rund 300.000 Post-Computer im ganzen Bundesgebiet betroffen seien. Frei nach dem Motto: Ein Rechner, zu dem die eigenen Mitarbeiter keinen Zugang mehr haben, ist auch vor Schädlingen geschützt.

Doch Scherz beiseite: Sasser ist nicht nur darum potenziell gefährlich, weil er manche IT-Verantwortliche zu nervös macht. Die Würmer verursachen eine erhebliche Netzwerkbelastung - und haben aufgrund ihres "Back-Door"-Charakters das Potenzial, auch destruktiv eingesetzt werden zu können.

Drei Schritte zum gesäuberten PC

Zum Glück sind gegen Sasser ein paar Kräuter gewachsen. Betroffen sind grundsätzlich nur Rechner mit Windows 2000 oder XP, sie sollte man im Augenblick im Auge behalten. Gefährdet sind grundsätzlich alle entsprechenden Rechner, die nicht durch eine Firewall geschützt sind und bei denen der vor rund 19 Tagen von Microsoft veröffentlichte Sicherheistpatch nicht installiert wurde. Auch innerhalb von Firmennetzwerken, die Firewall-geschützt sind, können beispielsweise über mitgebrachte Laptops Sasser-Würmer eingeschleppt werden.

Zum Glück hält sich der tatsächliche Schaden in Grenzen und kann mit entsprechenden "Removal-Tools" der verschiedenen IT-Sicherheitsunternehmen (siehe Linkverzeichnis am Fuß der Seite) behoben werden.

  • Wenn auf einem infizierten Rechner nach dem Start die Fehlermeldung "System Shutdown" erscheint und der angezeigte Countdown zum Neustart beginnt, sollte man diesen Vorgang abbrechen, indem man auf "Start" klickt, dann auf "Ausführen" und dort den Befehl eingibt: "shutdown -a" (ohne Anführungszeichen).
  • Jetzt sollte zuerst die Sicherheitslücke geschlossen werden. Dazu aktiviert man zunächst die in Windows XP integrierte Firewall: In der Systemsteuerung wird der Bereich "Netzwerk- und Internetverbindungen" aufgerufen. Hier klickt man auf "Netzwerkverbindungen". Mit der rechten Maustaste werden die "Eigenschaften" der genutzten Internet-Verbindung aufgerufen. Auf der Registerkarte "Erweitert" wird nun das Kontrollkästchen "Diesen Computer und das Netzwerk schützen" angeklickt.
    Bei Windows 2000 muss man eine Firewall gesondert installieren, wofür sich das für Privatanwender kostenlose ZoneAlarm anbietet (siehe Linkkasten).
    Direkt im Anschluss an die Einrichtung der Firewall sollte man den von Microsoft bereitgestellten Patch herunterladen und installieren - damit wird die von "Sasser" ausgenutzte Sicherheitslücke im "Local Security Authority Subsystem Service" (LSASS) des Betriebssystems geschlossen.
  • Der über das Internet auf den Rechner gelangte Wurm muss nun noch vernichtet werden. Hier kommen die Removal-Tools zum Einsatz (siehe Linkkasten). Zuletzt sollte noch die Registry überprüft werden. Diese zentrale Windows-Datenbank wird geöffnet, indem man auf "Start" und "Ausführen" klickt und dann den Befehl "regedit" (ohne Anführungszeichen) eingibt. In der Explorer-Ansicht links wird nun so lange auf die Plus-Zeichen geklickt, bis das Verzeichnis "HKEY_LOCAL_MACHINE - Software - Microsoft- Windows - currentVersion - Run" geöffnet ist. Hier muss dann rechts im Fenster ein möglicher Eintrag mit dem Dateiverweis auf "avserve.exe" gelöscht werden.

Eine erneute Infektion wird durch den installierten Sicherheitspatch und die Firewall verhindert.

P.S.:Ihre Geldautomaten seien von den "Problemen" mit dem Computervirus "Sasser" nicht betroffen, meldet die Postbank. Nur bei Barauszahlungen in Filialen hätten Kunden Wartezeiten auf Grund von erforderlichen Überprüfungen in Kauf nehmen müssen. Das gesamte sonstige Geschäft der Postbank an Geldautomaten wie auch das Telefon- und Online-Banking sei uneingeschränkt gelaufen.

Diesen Artikel...

© SPIEGEL ONLINE 2004
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH




Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: