Nimda - Gefährlicher Wurm attackiert Surfer (Update)
Der neue Trojaner verbreitet sich über drei unterschiedliche Kanäle und ist bei Versand über E-Mail über ein Attachement mit dem Namen "readme.exe" erkennbar. Neben der Endung .exe sind bereits weitere Datei-Endungen wie .wav oder .com im Umlauf. Bei Aktivierung dieser ausführbaren Datei wird der schadhafte Mechanismus gestartet.
Eine Datei im EML-Format namens mepXXXX.tmp wird in das temporäre Windows-Verzeichnis geschrieben. Sie enthält das Mail-Attachement, das der Wurm verbreitet. Wininit.ini enthält daraufhin einen Eintrag und setzt eine der mepXXXX.tmp-Dateien auf den Wert Null. Bei der Ausbreitung via E-Mail benutzt der Trojaner eine eigene SMTP Engine, bzw. vervielfältigt sich durch Messaging APIs. Die Applikationen MS Outlook sowie MS Outlook Express nutzend kann der Computerwurm automatisch gestartet werden. Er greift hier auf bestimmte Einstellungen zurück, die zum Ansehen einer E-Mail im HTML-Format mit Frames nötig sind.
Der Wurm selbst kopiert sich als versteckte Datei ins Windows-Verzeichnis mit dem Dateinamen load.exe und riched20.dll. In der System.ini setzt sich der Wurm mit der Zeile "shell=explorer.exe load.exe -dontrunold" fest, so dass er bei jedem Windows-Start geladen wird.
Der angerichtete Schaden liegt in der massenhaften und rasanten Verbreitung des Wurms, der unternehmensweite Netzwerke und Server lahm legt.
Darüber hinaus verbreitet sich Nimda über freigegebene Netzlaufwerke. Der Wurm untersucht das Netzwerk des infizierten PCs nach geteilten Ordnern mit Schreibzugriff. Wenn er fündig wird, legt er nach dem Prinzip des Zufallsmechanismus ein Newsgroup Posting oder eine EML-Datei ab, in dem der Wurm sich versteckt.
Auch auf PCs, die den Microsoft Internet Information Server (IIS) installiert haben, kann sich der Trojaner durch das IIS Web Directory Traversal ausbreiten. Hier werden unterschiedlichste Sicherheitslücken der IIS Server geprüft. Wird der Wurm fündig, nutzt er diese Lücken zur selbstständigen Verbreitung.
Antivirenhersteller empfehlen neben der Installation aktueller Virensignaturen, die den Nimda bereits erkennen und beseitigen können, eine Filterung für Unternehmensnetzwerke. So sollte man im Proxy alle .eml-Dateien ausfiltern lassen, da der Wurm diese nachlädt. Trend Micro legt sogar ein Blockieren ausführbarer Dateiendungen nahe.
Update:
Microsoft hat mittlerweile auf seinen Webseiten Informationen(öffnet im neuen Fenster) über den Nimda-Wurm und entsprechende Patches bereit gestellt.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.