LinkBack URL
About LinkBacks
ZitierenNimda - Gefährlicher Wurm attackiert Surfer
Wurm verbreitet sich per E-Mail, über Netzlaufwerke und Webserver
Mit Nimda ist jetzt ein neuer extrem gefährlicher Wurm im Umlauf, der von den verschiedenen Antivirenherstellern als hoch bedrohlich eingeschätzt wird. Der Wurm wird unter dem Namen W32/Nimda@MM, W32.Minda oder TROJ_Nimda.A geführt und als besonders zerstörerischer Mail-Wurm eingestuft, da er auch von infizierten Web-Servern auf Clients überspringen und so Systeme beim normalen Surfen infizieren kann. Der Computerwurm verbreitet sich weltweit in raschem Tempo über E-Mail, Network Shares oder den Internet Information Server.
Der neue Trojaner verbreitet sich über drei unterschiedliche Kanäle und ist bei Versand über E-Mail über ein Attachement mit dem Namen "readme.exe" erkennbar. Neben der Endung .exe sind bereits weitere Datei-Endungen wie .wav oder .com im Umlauf. Bei Aktivierung dieser ausführbaren Datei wird der schadhafte Mechanismus gestartet.
Eine Datei im EML-Format namens mepXXXX.tmp wird in das temporäre Windows-Verzeichnis geschrieben. Sie enthält das Mail-Attachement, das der Wurm verbreitet. Wininit.ini enthält daraufhin einen Eintrag und setzt eine der mepXXXX.tmp-Dateien auf den Wert Null. Bei der Ausbreitung via E-Mail benutzt der Trojaner eine eigene SMTP Engine, bzw. vervielfältigt sich durch Messaging APIs. Die Applikationen MS Outlook sowie MS Outlook Express nutzend kann der Computerwurm automatisch gestartet werden. Er greift hier auf bestimmte Einstellungen zurück, die zum Ansehen einer E-Mail im HTML-Format mit Frames nötig sind.
Der Wurm selbst kopiert sich als versteckte Datei ins Windows-Verzeichnis mit dem Dateinamen load.exe und riched20.dll. In der System.ini setzt sich der Wurm mit der Zeile "shell=explorer.exe load.exe -dontrunold" fest, so dass er bei jedem Windows-Start geladen wird.
Der angerichtete Schaden liegt in der massenhaften und rasanten Verbreitung des Wurms, der unternehmensweite Netzwerke und Server lahm legt.
Darüber hinaus verbreitet sich Nimda über freigegebene Netzlaufwerke. Der Wurm untersucht das Netzwerk des infizierten PCs nach geteilten Ordnern mit Schreibzugriff. Wenn er fündig wird, legt er nach dem Prinzip des Zufallsmechanismus ein Newsgroup Posting oder eine EML-Datei ab, in dem der Wurm sich versteckt.
Auch auf PCs, die den Microsoft Internet Information Server (IIS) installiert haben, kann sich der Trojaner durch das IIS Web Directory Traversal ausbreiten. Hier werden unterschiedlichste Sicherheitslücken der IIS Server geprüft. Wird der Wurm fündig, nutzt er diese Lücken zur selbstständigen Verbreitung.
Antivirenhersteller empfehlen neben der Installation aktueller Virensignaturen, die den Nimda bereits erkennen und beseitigen können, eine Filterung für Unternehmensnetzwerke. So sollte man im Proxy alle .eml-Dateien ausfiltern lassen, da der Wurm diese nachlädt. Trend Micro legt sogar ein Blockieren ausführbarer Dateiendungen nahe.
Quelle: http://www.golem.de/0109/15918.html
================================================
Related Links:
F-Secure
http://www.f-secure.com/v-descs/nimda.shtml
Frisk Software
http://www.frisk.is/f-prot/virusinfo/nimda.html
McAfee (Mit einer Software zum bekämpfen des Virus)
http://www.mcafee.com/
Symantec Security
http://www.symantec.com/avcenter/ven...imda.a@mm.html
Antivirus.com (Mit Anleitung wie man das Mistding wieder löscht!)
http://www.antivirus.com/vinfo/virus...ame=PE_NIMDA.A
================================================
