Ein Administrator bekommt Virengefahren normalerweise in den Griff, indem er die Malicious Codes am Eindringen ins Netz hindert oder sie wieder daraus verbannt. "Malware" der neuesten Generation kann den Netzwerk-Verwalter aber auch auf andere Weise beschäftigen.
Der Virus "Nimda", vor dem NetworkWorld in Ausgabe 18/01 warnte, trägt auf PCs den vorkonfigurierten Gastbenutzer in die lokale Gästegruppe und die lokale Administratoren-Gruppe ein. Jeder "Gast" erhält auf diese Weise Administratorenrechte. Außerdem gibt Nimda alle fest in den Client eingebauten Laufwerke für den Vollzugriff übers Netzwerk frei. Das Programm nutzt Shares als Verbreitungsweg.
Tipp Nr. 3/2001: "Die Netzwerk-Shares, die Nimda gesetzt hat, sind heute in vielen Unternehmen immer noch offen", berichtet Raimund Genes, President Operations beim Antivirussoftware-Hersteller Trend Micro. "Administratoren sollten ihre Netze darauf hin überprüfen, ob entsprechende Veränderungen noch existieren, denn Antivirusprogramme können die Manipulationen nicht selbstständig rückgängig machen."
Die Lösung: Es gibt Tools, die die Nimda-Änderungen umzukehren versuchen. Trend Micro etwa bietet solch ein Werkzeug zum freien Download an. "Diese Hilfen darf man aber nicht ohne genaue Planung und genau abgestimmte Steuerung einsetzen", erklärt Genes, "denn es gibt im Netz bestimmt auch Shares, die Nimda nicht gesetzt hat und die erhalten bleiben müssen." Exchange-Cluster etwa kann man durch blindes Ausschalten der Freigaben funktionsuntüchtig machen. "Vielleicht gibt es sogar Fälle, wo Administratorenrechte für Gäste absichtlich gesetzt sind", ergänzt Genes, "aber eigentlich müsste man das schon an sich als Sicherheitslücke bezeichnen." So bleibt am Ende nur der Rat, das Netz genau zu prüfen und die Einstellungen gegebenenfalls von Hand zu korrigieren.
Das Programm von Trend Micro findet sich unter FIX_NIMDA.zip, die Anleitung zur Kommandozeilensteuerung unter readme_fix_nimda.txt. (jo)
www.networkworld.de/secucheck