04.05.2004 · Der Internet-Wurm „Sasser“ ist nach Einschätzung von Experten eher lästig als gefährlich. Mit relativ geringem Aufwand kann sich von dem elektronischen Plagegeist befreien.
© dpa
Besonders anfällig für „Sasser”: Windows XP
Der Schrecken ist erst einmal groß, wenn ein mit dem Computerwurm „Sasser“ infizierter Rechner immer wieder einen Neustart erzwingt. Betroffen sind Computer mit Windows 2000 oder Windows XP, bei denen keine schützende Firewall eingerichtet ist und bei denen der von Microsoft bereitgestellte „Patch“ zur Schließung der Sicherheitslücke noch nicht installiert wurde.
Der tatsächliche Schaden hält sich aber in Grenzen. In drei Schritten kann das Problem gelöst werden.
Countdown abbrechen
Wenn auf einem infizierten Rechner nach dem Start die Fehlermeldung „System Shutdown“ erscheint und der angezeigte Countdown zum Neustart beginnt, sollte man diesen Vorgang abbrechen, indem man auf „Start“ klickt, dann auf „Ausführen“ und dort den Befehl eingibt: „shutdown /a“ (ohne Anführungszeichen).
Sicherheitslücke schließen
Jetzt sollte zuerst die Sicherheitslücke geschlossen werden.
Dazu aktiviert man zunächst die in Windows XP integrierte Firewall: In der Systemsteuerung wird der Bereich „Netzwerk- und Internetverbindungen“ aufgerufen. Hier klickt man auf „Netzwerkverbindungen“. Mit der rechten Maustaste werden die „Eigenschaften“ der genutzten Internet-Verbindung aufgerufen.
Auf der Registerkarte „Erweitert“ wird nun das Kontrollkästchen „Diesen Computer und das Netzwerk schützen“ angeklickt. Bei Windows 2000 muß man eine Firewall gesondert installieren, wofür sich das kostenloseZoneAlarm von zonelabs.com anbietet. Direkt im Anschluss an die Einrichtung der Firewall sollte man den von Microsoft bereitgestellten Patch herunterladen und installieren - damit wird die von „Sasser“ ausgenutzte Sicherheitslücke im „Local Security Authority Subsystem Service“ (LSASS) des Betriebssystems geschlossen.
Wurm vernichten
Der über das Internet auf den Rechner gelangte Wurm muß nun noch vernichtet werden. Dazu hat Symantec ein kleines Programm bereitgestellt, das als FxSasser.exe auf der Web-Site dieser Firma heruntergeladen und dann direkt gestartet werden kann - vorher sollte man über den Explorer und die Computer-Eigenschaften die „Systemwiederherstellung“ vorübergehend abschalten. Zuletzt sollte noch die Registry überprüft werden.
Diese zentrale Windows-Datenbank wird geöffnet, indem man auf „Start“ und „Ausführen“ klickt und dann den Befehl „regedit“ (ohne Anführungszeichen) eingibt. In der Explorer-Ansicht links wird nun so lange auf die Plus-Zeichen geklickt, bis das Verzeichnis
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsurrentVersion\Run geöffnet ist. Hier muß dann rechts im Fenster ein möglicher Eintrag mit dem Dateiverweis auf „avserve.exe gelöscht werden.
