Nimda - Gefährlicher Wurm attackiert Surfer (Update)

Wurm verbreitet sich per E-Mail, über Netzlaufwerke und Webserver

Mit Nimda ist jetzt ein neuer extrem gefährlicher Wurm im Umlauf, der von den verschiedenen Antivirenherstellern als hoch bedrohlich eingeschätzt wird. Der Wurm wird unter dem Namen W32/Nimda@MM, W32.Minda oder TROJ_Nimda.A geführt und als besonders zerstörerischer Mail-Wurm eingestuft, da er auch von infizierten Web-Servern auf Clients überspringen und so Systeme beim normalen Surfen infizieren kann. Der Computerwurm verbreitet sich weltweit in raschem Tempo über E-Mail, Network Shares oder den Internet Information Server.

Artikel veröffentlicht am ,

Der neue Trojaner verbreitet sich über drei unterschiedliche Kanäle und ist bei Versand über E-Mail über ein Attachement mit dem Namen "readme.exe" erkennbar. Neben der Endung .exe sind bereits weitere Datei-Endungen wie .wav oder .com im Umlauf. Bei Aktivierung dieser ausführbaren Datei wird der schadhafte Mechanismus gestartet.

Eine Datei im EML-Format namens mepXXXX.tmp wird in das temporäre Windows-Verzeichnis geschrieben. Sie enthält das Mail-Attachement, das der Wurm verbreitet. Wininit.ini enthält daraufhin einen Eintrag und setzt eine der mepXXXX.tmp-Dateien auf den Wert Null. Bei der Ausbreitung via E-Mail benutzt der Trojaner eine eigene SMTP Engine, bzw. vervielfältigt sich durch Messaging APIs. Die Applikationen MS Outlook sowie MS Outlook Express nutzend kann der Computerwurm automatisch gestartet werden. Er greift hier auf bestimmte Einstellungen zurück, die zum Ansehen einer E-Mail im HTML-Format mit Frames nötig sind.

Der Wurm selbst kopiert sich als versteckte Datei ins Windows-Verzeichnis mit dem Dateinamen load.exe und riched20.dll. In der System.ini setzt sich der Wurm mit der Zeile "shell=explorer.exe load.exe -dontrunold" fest, so dass er bei jedem Windows-Start geladen wird.

Der angerichtete Schaden liegt in der massenhaften und rasanten Verbreitung des Wurms, der unternehmensweite Netzwerke und Server lahm legt.

Darüber hinaus verbreitet sich Nimda über freigegebene Netzlaufwerke. Der Wurm untersucht das Netzwerk des infizierten PCs nach geteilten Ordnern mit Schreibzugriff. Wenn er fündig wird, legt er nach dem Prinzip des Zufallsmechanismus ein Newsgroup Posting oder eine EML-Datei ab, in dem der Wurm sich versteckt.

Auch auf PCs, die den Microsoft Internet Information Server (IIS) installiert haben, kann sich der Trojaner durch das IIS Web Directory Traversal ausbreiten. Hier werden unterschiedlichste Sicherheitslücken der IIS Server geprüft. Wird der Wurm fündig, nutzt er diese Lücken zur selbstständigen Verbreitung.

Antivirenhersteller empfehlen neben der Installation aktueller Virensignaturen, die den Nimda bereits erkennen und beseitigen können, eine Filterung für Unternehmensnetzwerke. So sollte man im Proxy alle .eml-Dateien ausfiltern lassen, da der Wurm diese nachlädt. Trend Micro legt sogar ein Blockieren ausführbarer Dateiendungen nahe.

Update:
Microsoft hat mittlerweile auf seinen Webseiten Informationen über den Nimda-Wurm und entsprechende Patches bereit gestellt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Meistgelesen
artikel-bild
Gefangen im Zeitstrom, verloren im All
Die zehn besten Sci-Fi-Serien der 1960er
artikel-bild
Forschung
KI findet Antibiotikum gegen multirestistentes Bakterium
artikel-bild
Blue Byte
Im Bann der ersten Siedler
Kommentarübersicht
Re: Bitte um Hilfe
sax 22. Jan 2002

Hi , leider eine weniger erfreuliche Nachricht, es hilft nur reines Format C: wenn man...

Re: Entfernen des Nimda Virus
Denker_2000 12. Jan 2002

Hiho Brauche ganz dringend Hilfe !!! ich habe diese scheiß Nimda Viren bei mir drauf...

Re: Nimda - Gefährlicher Wurm attackiert Surfer
Fabian Korter 02. Dez 2001

Hallo Ich wollte mal nachfragen ob es sein kann das der Nimda Wurm daran schuld sein...

Bitte um Hilfe
Robert 10. Nov 2001

.Hallo Leute Ich habe ein großes Problem. Ich bin Systemadmin bei einer Firma, jetzt...

Aktuell auf der Startseite von Golem.de
Gefangen im Zeitstrom, verloren im All
Die zehn besten Sci-Fi-Serien der 1960er

Sie sind die Klassiker, auf denen das ganze Genre aufbaut: die großen Science-Fiction-Serien der 1960er. Neben Star Trek gab es hier noch viel mehr.
Von Peter Osteried

Gefangen im Zeitstrom, verloren im All: Die zehn besten Sci-Fi-Serien der 1960er
Artikel
  1. Speicherleaks vermeiden: Ressourcen- und typensicheres Programmieren in C++
    Speicherleaks vermeiden
    Ressourcen- und typensicheres Programmieren in C++

    Bei C++ liegt alles in der Hand der Entwickler - und das kann gut und schlecht sein. Richtig angewendet, ist die Sprache aber alles andere als unsicher.
    Eine Anleitung von Adam Jaskowiec

  2. Forschung: KI findet Antibiotikum gegen multirestistentes Bakterium
    Forschung
    KI findet Antibiotikum gegen multirestistentes Bakterium

    Forscher zeigen, dass die Hoffnungen in KI bei der Entwicklung von Medikamenten berechtigt sind. Ihre Entwicklung soll deutlich schneller werden.

  3. Halluzination: ChatGPT erfindet Gerichtsakten
    Halluzination
    ChatGPT erfindet Gerichtsakten

    Ein Anwalt wollte sich von ChatGPT bei der Recherche unterstützen lassen - das Ergebnis ist eine Blamage.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Microsoft Xbox Wireless Controller 40,70€ • Lexar Play 1 TB 99,60€ • DAMN!-Deals mit AMD-Bundle-Aktion • MindStar: AMD Ryzen 9 5950X 429€, MSI RTX 3060 Gaming Z Trio 12G 329€, GIGABYTE RTX 3060 Eagle OC 12G 299€, be quiet! Pure Base 500DX 89€ • Logitech bis -46% [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /