Wurm verbreitet sich automatisch und unauffällig
"Sasser" ist von einem schwereren Kaliber als die Mailwürmer, die in den letzten Wochen immer wieder für Aufsehen sorgten. Während sich Netsky, Bagle und Co. über leichtsinnig geöffnete eMail-Anhänge verbreiten, kann "Sasser" den PC ganz ohne Zutun des Anwenders verseuchen. Der Schädling dringt völlig unbemerkt über den TCP-Port 445 ein - eine aktive Internetverbindung reicht. Seine Opfer findet der Schädling schlichtweg per Zufall. Auf einem infizierten System erzeugt "Sasser" zunächst beliebige IP-Adressen. Anschließend steuert er die dazugehörigen Rechner an und überprüft sie auf Verwundbarkeit. Dazu öffnet er 128 Verbindungen gleichzeitig, was allein den PC schon lahmlegen kann. Sobald "Sasser" einen ungeschützten TCP-Port 445 findet, überträgt er den Wurmcode auf den PC.
Ständiges Herunterfahren stoppen
Ist der PC bereits vom Wurm befallen, lässt er dem Anwender kaum Zeit, eines der Beseitigungstools herunterzuladen. Der Wurm zwingt den PC immer wieder zum Herunterfahren. Dieser Prozess lässt sich aber mit wenigen Mausklicks unterbinden.
PC fährt einfach runter - verräterische Prozesse im Task-Manager
Mailwürmer wie "Netsky" und "Bagle" verstopfen vor allem das Postfach, "Sasser" hingegen macht das Arbeiten mit dem PC unmöglich. Auf infizierten PCs läuft im Hintergrund ein Prozess, der das System nach kurzer Zeit automatisch herunterfährt. Im ungünstigen Fall droht sogar Datenverlust auf der Festplatte. Ob sich "Sasser" auf dem PC eingenistet hat, lässt sich zum Beispiel einfach über den Taskmanager feststellen, aufzurufen mit der Tastenkombination Strg-Alt-Enf. Finden sich unter "Prozesse" die Einträge "avserve.exe", "avserve2.exe" oder "skynetave.exe", ist Ihr System mit Sicherheit betroffen. Auch Dateien, deren Name mit einer beliebigen Zahlenkombination beginnt, gefolgt von "_up.exe", weisen auf den Virus hin. Ein einfaches Beenden der Tasks reicht leider nicht aus, den Schädling loszuwerden. Ohne weitere Maßnahmen würden die schädlichen Dateien beim nächsten Booten wieder aktiv.
|