Abo
  • Services:

Nimda - Gefährlicher Wurm attackiert Surfer (Update)

Wurm verbreitet sich per E-Mail, über Netzlaufwerke und Webserver

Mit Nimda ist jetzt ein neuer extrem gefährlicher Wurm im Umlauf, der von den verschiedenen Antivirenherstellern als hoch bedrohlich eingeschätzt wird. Der Wurm wird unter dem Namen W32/Nimda@MM, W32.Minda oder TROJ_Nimda.A geführt und als besonders zerstörerischer Mail-Wurm eingestuft, da er auch von infizierten Web-Servern auf Clients überspringen und so Systeme beim normalen Surfen infizieren kann. Der Computerwurm verbreitet sich weltweit in raschem Tempo über E-Mail, Network Shares oder den Internet Information Server.

Artikel veröffentlicht am ,

Der neue Trojaner verbreitet sich über drei unterschiedliche Kanäle und ist bei Versand über E-Mail über ein Attachement mit dem Namen "readme.exe" erkennbar. Neben der Endung .exe sind bereits weitere Datei-Endungen wie .wav oder .com im Umlauf. Bei Aktivierung dieser ausführbaren Datei wird der schadhafte Mechanismus gestartet.

Stellenmarkt
  1. BFFT Gesellschaft für Fahrzeugtechnik mbH, Gaimersheim
  2. FES Frankfurter Entsorgungs- und Service GmbH, Frankfurt am Main

Eine Datei im EML-Format namens mepXXXX.tmp wird in das temporäre Windows-Verzeichnis geschrieben. Sie enthält das Mail-Attachement, das der Wurm verbreitet. Wininit.ini enthält daraufhin einen Eintrag und setzt eine der mepXXXX.tmp-Dateien auf den Wert Null. Bei der Ausbreitung via E-Mail benutzt der Trojaner eine eigene SMTP Engine, bzw. vervielfältigt sich durch Messaging APIs. Die Applikationen MS Outlook sowie MS Outlook Express nutzend kann der Computerwurm automatisch gestartet werden. Er greift hier auf bestimmte Einstellungen zurück, die zum Ansehen einer E-Mail im HTML-Format mit Frames nötig sind.

Der Wurm selbst kopiert sich als versteckte Datei ins Windows-Verzeichnis mit dem Dateinamen load.exe und riched20.dll. In der System.ini setzt sich der Wurm mit der Zeile "shell=explorer.exe load.exe -dontrunold" fest, so dass er bei jedem Windows-Start geladen wird.

Der angerichtete Schaden liegt in der massenhaften und rasanten Verbreitung des Wurms, der unternehmensweite Netzwerke und Server lahm legt.

Darüber hinaus verbreitet sich Nimda über freigegebene Netzlaufwerke. Der Wurm untersucht das Netzwerk des infizierten PCs nach geteilten Ordnern mit Schreibzugriff. Wenn er fündig wird, legt er nach dem Prinzip des Zufallsmechanismus ein Newsgroup Posting oder eine EML-Datei ab, in dem der Wurm sich versteckt.

Auch auf PCs, die den Microsoft Internet Information Server (IIS) installiert haben, kann sich der Trojaner durch das IIS Web Directory Traversal ausbreiten. Hier werden unterschiedlichste Sicherheitslücken der IIS Server geprüft. Wird der Wurm fündig, nutzt er diese Lücken zur selbstständigen Verbreitung.

Antivirenhersteller empfehlen neben der Installation aktueller Virensignaturen, die den Nimda bereits erkennen und beseitigen können, eine Filterung für Unternehmensnetzwerke. So sollte man im Proxy alle .eml-Dateien ausfiltern lassen, da der Wurm diese nachlädt. Trend Micro legt sogar ein Blockieren ausführbarer Dateiendungen nahe.

Update:
Microsoft hat mittlerweile auf seinen Webseiten Informationen über den Nimda-Wurm und entsprechende Patches bereit gestellt.



Anzeige
Blu-ray-Angebote
  1. (u. a. 4 Blu-rays für 20€, 2 TV-Serien für 20€)

sax 22. Jan 2002

Hi , leider eine weniger erfreuliche Nachricht, es hilft nur reines Format C: wenn man...

Denker_2000 12. Jan 2002

Hiho Brauche ganz dringend Hilfe !!! ich habe diese scheiß Nimda Viren bei mir drauf...

Fabian Korter 02. Dez 2001

Hallo Ich wollte mal nachfragen ob es sein kann das der Nimda Wurm daran schuld sein...

Robert 10. Nov 2001

.Hallo Leute Ich habe ein großes Problem. Ich bin Systemadmin bei einer Firma, jetzt...

leprechaun 26. Sep 2001

Hi Hans, Ich hab von beepworld.de nen Newsletter bekommen. Da war ein Bericht über NIMDA...


Folgen Sie uns
       


Reflections Raytracing Demo (RTX 2080 Ti vs. GTX 1080 Ti)

Wir haben die Reflections Raytracing Demo auf einer Nvidia Geforce RTX 2080 Ti und auf einer GTX 1080 Ti ablaufen lassen.

Reflections Raytracing Demo (RTX 2080 Ti vs. GTX 1080 Ti) Video aufrufen
Norsepower: Stahlsegel helfen der Umwelt und sparen Treibstoff
Norsepower
Stahlsegel helfen der Umwelt und sparen Treibstoff

Der erste Test war erfolgreich: Das finnische Unternehmen Norsepower hat zwei weitere Schiffe mit Rotorsails ausgestattet. Der erste Neubau mit dem Windhilfsantrieb ist in Planung. Neue Regeln der Seeschifffahrtsorganisation könnten bewirken, dass künftig mehr Schiffe saubere Antriebe bekommen.
Ein Bericht von Werner Pluta

  1. Car2X Volkswagen will Ampeln zuhören
  2. Innotrans Die Schiene wird velosicher
  3. Logistiktram Frankfurt liefert Pakete mit Straßenbahn aus

Mate 20 Pro im Hands on: Huawei bringt drei Brennweiten und mehr für 1.000 Euro
Mate 20 Pro im Hands on
Huawei bringt drei Brennweiten und mehr für 1.000 Euro

Huawei hat mit dem Mate 20 Pro seine Dreifachkamera überarbeitet: Der monochrome Sensor ist einer Ultraweitwinkelkamera gewichen. Gleichzeitig bietet das Smartphone zahlreiche technische Extras wie einen Fingerabdrucksensor unter dem Display und einen sehr leistungsfähigen Schnelllader.
Ein Hands on von Tobias Költzsch

  1. Keine Spionagepanik Regierung wird chinesische 5G-Ausrüster nicht ausschließen
  2. Watch GT Huawei bringt Smartwatch ohne Wear OS auf den Markt
  3. Ascend 910/310 Huaweis AI-Chips sollen Google und Nvidia schlagen

Life is Strange 2 im Test: Interaktiver Road-Movie-Mystery-Thriller
Life is Strange 2 im Test
Interaktiver Road-Movie-Mystery-Thriller

Keine heile Teenagerwelt mit Partys und Liebeskummer: Allein in den USA der Trump-Ära müssen zwei Brüder mit mexikanischen Wurzeln in Life is Strange 2 nach einem mysteriösen Unfall überleben. Das Adventure ist bewegend und spannend - trotz eines grundsätzlichen Problems.
Von Peter Steinlechner

  1. Adventure Leisure Suit Larry landet im 21. Jahrhundert

    •  /