Nimda - gefährlicher Wurm verbreitet sich rasant

Ein gefährlicher Wurm namens W32.Nimda-A macht derzeit die Runde. Nach Ansicht von Experten ist Nimda aggressiver und gefährlicher als Code Red. Um einen Rechner zu infizieren, reicht der Besuch einer Webseite eines infizierten Webservers (IIS).

Durch diese Methode sind selbst vorsichtige Surfer durch Nimda (rückwärts Admin) in Gefahr. Der Wurm befällt laut Symantec den IIS von Microsoft über die Lücke Webserver Folder Traversal, für die Microsoft bereits seit einem Jahr Patches anbietet. Die Patches und Lösungen, die die Hersteller von Antiviren-Software bis dato anbieten, können Sie in einer aktuellen tecChannel.de-Nachricht entnehmen.

Drei Verbreitungsarten werden dem Wurm zugeschrieben: Webseiten auf geknackten Microsoft-Webservern (IIS 4 und 5) versieht der Schädling mit JavaScript-Code, der beim Besuch eine präparierte Datei mit der Endung .EML (Outlook Express E-Mail-Datei) auf den Rechner herunterlädt und ausführt. Als erste Hilfe gegen diese Gefahr dient das Deaktivieren der JavaScript- und der Download-Funktion im Browser.

Bei der Verbreitung via E-Mail droht eine ähnliche Gefahr. Unter Ausnutzung einer ebenfalls bekannten MIME-Lücke schafft es der Wurm, sich via Anhang mit modifiziertem MIME-Header allein über das Vorschaufenster zu verbreiten. Der virenbeladene Anhang namens Readme.exe ist dabei nicht sichtbar. Nimda benutzt für Absender und Empfänger dieselbe Adresse. Damit ist für Benutzer vorerst unklar, woher die infizierte Mail stammt.

Für die Verschickung kommt der Wurm mit eigenem SMTP-Server und durchsucht alle HTM-Seiten nach Adressen. Über MAPI scannt er auch die Inbox jedes Mail-Clients mit MAPI-Unterstützung und verschickt sich.

Die dritte Verbreitungsart geschieht über Netzlaufwerke. Dort versucht der Wurm laut Symantec .EXE-, .EML- und .NWS-Dateien zu infizieren. Durch diverse System-Modifikationen, etwa von DLLs, wird der Wurm beispielsweise beim Start von Applikationen wie Word immer wieder geladen. Daneben gibt der Wurm alle Laufwerke des Rechners als versteckte Shares frei. Die Antivirenhersteller arbeiten derzeit noch am Update ihrer Signaturen. Wir halten Sie über die Entwicklung von Gegenmitteln auf dem Laufenden. Weitere Details zum Nimda-Wurm finden Sie bei den Antivirenherstellern, etwa hier bei Symantec.

Weitere Hintergründe zur Virentechnologien bieten unser Grundlagenbeitrag zum Thema wie auch der Report: Viren unter Linux. Einen Test aktueller Virenscanner finden Sie hier. (uba)