News 01.11.2001, 15:30 Uhr

W32/Nimda

W32/Nimda ist ein Schädling, der sich gleich am ersten Tag weltweit rasend schnell verbreitete. Inzwischen sind verschiedene Varianten dieses Wurms aufgetaucht.
Die Virenexperten von Sophos [1], F-Secure [2] und Network Associates meldeten am 18. September 2001 einen Wurm namens W32/Nimda, der sich offenbar im Expresstempo verbreitete.
Erstens vermehrt sich Nimda per Massenmail, die eine schädliche Beilage verschickt, meist mit dem Namen README.EXE (andere Dateinamen möglich!). Gemäss Informationen von Network Associates (NAI) kann die Datei das harmlos erscheinende Internet-Explorer-Symbol einer HTML-Datei tragen. Wird die Beilage ausgeführt, wird der PC infiziert und der Wurm via E-Mail weiter verbreitet. Wie NAI weiter schreibt [3], sei es das einzige Ziel dieses Virus, so viele PCs wie möglich anzustecken und so viel Netzverkehr zu erzeugen, dass das Netz fast unbenutzbar wird. Perfid: Ist ein Outlook oder Outlook Express nicht geschützt, kann W32/Nimda die Beilage automatisch ausführen, ohne dass der Benutzer selber die Beilage öffnet. Dafür ist eine Sicherheitslücke im Internet Explorer verantwortlich, die Sie aber durch die Installation dieses Patches [4] von Microsoft schliessen können.
Zweitens sei es W32/Nimda möglich, sich über Netzwerk-Freigaben zu vermehren. Um den PC noch verwundbarer zu machen, versucht der Wurm, das ganze Laufwerk C: im Netzwerk freizugeben.
Drittens setzt der Virus der Sache die Krone auf, indem er auch Webserver angreift, ähnlich wie CodeRed und CodeBlue, die sich im Sommer 2001 auf unzähligen Webservern niederliessen. W32/Nimda tut dies, indem er das befallene System und das damit verbundene Netzwerk nach installierten Microsoft Internet Information Servern (IIS) durchsucht. Wird er fündig, steckt er diese Systeme über eine vorhandene Sicherheitslücke oder über eine von CodeRed oder dem Sadmind-Trojaner geöffnete Hintertüre an. Dies verursacht viel Netzverkehr, weshalb Systeme mit wenig Bandbreite möglicherweise bald nicht mehr via Netz oder Web erreichbar sind.
Systemadministratoren, die einen Microsoft Webserver (IIS) betreiben, sollten unbedingt dafür sorgen, dass auch dessen Sicherheitslöcher gestopft [5] werden. Fehlt der IIS-Patch auf einem System, versucht der Nimda-Virus, dort ein JavaScript in HTML-Seiten einzubauen. Dieses Script sorgt dafür, dass die Besucher der Site ihren PC ebenfalls anstecken, sofern sie einen ungepatchten Internet Explorer verwenden.
Auf infizierten Systemen kopiert sich der Wurm als LOAD.EXE in den Windows System-Ordner und erstellt in der Datei SYSTEM.INI einen Eintrag, der dafür sorgt, dass der Schädling bei jedem PC-Start automatisch geladen wird:
Shell=explorer.exe load.exe -dontrunold
Weiter wurde schon beobachtet, dass in jedem Ordner der infizierten Festplatte eine Maildatei (Endung EML oder NWS) erstellt wird, die den Virus enthält. Damit beabsichtigt der Virenschreiber wahrscheinlich, dass das System später erneut infiziert wird, wenn der Benutzer eine solche Datei öffnet, sich fragend, was diese in jenem Ordner suchen mag.
Die Hersteller von Antiviren-Software entwickeln laufend aktualisierte Virendefinitionen. Updaten Sie unbedingt Ihren Virenscanner und installieren Sie den empfohlenen Patch. Da nicht jeder Virenscanner von sich aus Dateien mit der Endung EML scannt, sollten Sie bei der Bekämpfung des Wurms die Einstellung ALLE DATEIEN SCANNEN wählen.
Die hier unten verlinkte eingehende technische Beschreibung von F-Secure benennt noch eine Menge weiterer Dateien und Einträge, die der Wurm macht.
UPDATE: TrendMicro [6] bietet ein Tool an, welches infizierte PCs vom Nimda-Virus befreit. Am besten entpacken Sie die heruntergeladene Datei auf einem nicht infizierten PC und kopieren die drei Dateien (FIX_NIMDA.EXE, SLIDE.DAT und SLIDE.EXE) auf eine Diskette. Trennen Sie den infizierten PC vom Netzwerk bzw. vom Internet. Schreibschützen Sie die Diskette und führen Sie die Datei FIX_NIMDA.EXE auf dem infizierten PC aus. Gemäss Informationen von TrendMicro funktioniert dieses Utility auf PCs mit Windows 95/98/ME/NT/2000.
UPDATE II: Von Nimda sind einige neue Varianten aufgetaucht. Einige davon unterscheiden sich von der ursprünglichen Variante nur in der Art der verwendeten Kompressions-Tools. Teilweise werden auch andere Dateinamen als im Original verwendet, z.B. SAMPLE.EXE, PUTA!!.SCR und PUTA!!.EML anstatt README.EXE und README.EML. Auch die vom Wurm platzierten DLL-Dateien können andere Namen tragen, wie beispielsweise HTTPODBC.DLL und COOL.DLL anstelle von ADMIN.DLL. Auf der eingangs erwähnten Webseite von F-Secure ist inzwischen auch ein Nimda-Beseitigungs-Programm erhältlich.



Kommentare
Es sind keine Kommentare vorhanden.