Sasser fährt w2k und xp pcs übers netz herunter?
 

Sasser fährt von einem infizierten Computer aus nicht infizierte XP und w2k sp4 Computer herunter.
Wie geht das?

Re: Sasser fährt w2k und xp pcs übers netz herunter?
 

Hi Delphi Star,

warum willst du dies wissen? Ich geb dir nur einen kleinen Tipp: shutdown.exe
Aber von dem "Feature" hab ich noch nie was gehört.

Greetz
alcaeus

Re: Sasser fährt w2k und xp pcs übers netz herunter?
 

Windows machts möglich :wink:

Re: Sasser fährt w2k und xp pcs übers netz herunter?
 

auch die delphi suche sollte dir mit diesen stichwörtern helfen!
[dp]übers netzwerk herunterfahren[/dp]

Re: Sasser fährt w2k und xp pcs übers netz herunter?
 

@alcaeus: Mit der Shutdown.exe geht das unter XP, aber wie hat er den w2k Rechner runtergefahren, da gibt es keine Shutdown.exe

Re: Sasser fährt w2k und xp pcs übers netz herunter?
 

Er killt doch einen kritischen system service, deswegem fahren die rechner runter!

Re: Sasser fährt w2k und xp pcs übers netz herunter?
 

Vergiss nicht dass es sich um einen Virus gehandelt hat, der über ein Exploit in der RPC ein Programm auf den Rechner geladen hat. Der Rechner wurde erst neu gestartet, als er infiziert war.
Ob das hier weiter besprochen werden sollte weiß ich nicht, erklär mal wozu du es brauchst.

Greetz
alcaeus

Re: Sasser fährt w2k und xp pcs übers netz herunter?
 

wie static_cast schon angesprochen hatte, killt sasser den systemprozess lsass.exe, was eigentlich iirc vom Virenschreiber gar nicht beabsichtigt war. quasi ein bug im virus. das liegt daran, dass die der angegriffene rpc-code der unterschiedlichen windowsversionen an unterschiedlichen adressen ausgeführt wird. nach dem injezieren des codes durch einen buffer-overflow stimmte allerdings bei einigen versionen die rücksprungadresse nicht mehr -> der prozess crashte -> windows wird heruntergefahren. that's it.