Computerviren: Grundlagen

Äußerst erfolgreich behaupten sich seit Code Red Würmer, die zu ihrer Verbreitung bekannte Windows-Sicherheitslücken nutzen. Und das, obwohl Microsoft für diese Schwachstellen bereits entsprechende Patches herausgebracht hat.

So ist am 18. September 2001 mit W32/Nimda ein äußerst aggressiver Wurm aufgetreten. Er nutzt zwei bekannte Sicherheitslücken im Internet Explorer und Internet Information Server, um sich über 32-Bit-Windows-Systeme fortzupflanzen. So sorgt etwa der manipulierte MIME-Header von HTML-Mails dafür, dass bereits bei der Vorschau einer Nachricht in Outlook (Express) das verseuchte Attachment readme.exe ausgeführt wird. Einmal aktiv, verschickt sich der Parasit über einen eigenen SMTP-Server an weitere Opfer. Deren E-Mail-Adressen extrahiert der Wurm aus HTML-Seiten oder über MAPI aus der Inbox des Mail-Clients.

Nimda befällt ebenfalls Microsofts Internet Information Server, indem er mittels Portscan verwundbare Rechner aufspürt. In deren Webseiten baut der Schädling JavaScript-Code ein, der beim Besuch einer solchen Seite die präparierte Datei readme.eml auf den lokalen Rechner lädt und sie ausführt. Gegen diese Gefahr hilft das Deaktivieren der JavaScript- und Download-Funktion im Browser.

Der Wurm kann sich auch über Windows-Freigaben ausbreiten, die er für jedes lokale Laufwerk versteckt anlegt. Findet Nimda im Netzwerk Shares mit Schreibzugriff, erzeugt er auf diesen Laufwerken Kopien von sich im NWS- oder EML-Format. Der dabei gewählte Dateiname wird zufällig generiert.

Obwohl für die Schwachstellen, über die der Schädling eindringt, seit geraumer Zeit Patches verfügbar sind, hat sie offenbar kaum jemand eingesetzt. So konnte sich der Wurm rasant verbreiten und weltweit die Computernetze verstopfen.