Du bist nicht angemeldet.

Gefährlicher neuer Virus im Umlauf Nimda

Child of the sun

«« the 1st WSBlerin »»

  • »Child of the sun« ist der Autor dieses Themas

Beiträge: 374

  • Private Nachricht senden

1

Mittwoch, 19. September 2001, 11:18

Gefährlicher neuer Virus im Umlauf Nimda

Zurzeit verbreitet sich ein neuer Mail-Wurm mit beunruhigender Geschwindigkeit im Internet. Der Schädling, den Kaspersky Labs vorläufig "Nimda" getauft hat, verbreitet sich nicht nur wie SirCam über einen eigenen SMTP-Server, sondern nutzt zudem noch verschiedene Sicherheitslücken aus. Es besteht der Verdacht, dass Nimda auch Web-Server befällt und dort infizierte Dateien hinterlegt, die allein beim Betrachten der Seite über den Windows Media Player ausgeführt werden. Konkrete Informationen über die zugrundeliegenden Mechanismen liegen noch nicht vor.

Die infizierten Mails tragen wechselnde Betreffszeilen und enthalten häufig ein Attachement mit dem Mime-Typ Audio/WAV, hinter dem sich EXE- oder DOC-Dateien verstecken. Unter Umständen genügt es bereits, die Mail lediglich mit Outlook Express anzusehen, um den Media Player zu starten und damit den Rechner zu infizieren. Neben der Mail-Verbreitung setzt Nimda unter anderem auf die von Code Red eingepflanzten Hintertüren, um neue Systeme zu infizieren. Erste Analysen zeigen auch, dass der Schädling unter anderem eine Hintertür in Windows NT/2000-Rechnern aktiviert, indem er einen Gast-Account mit Administrator-Rechten anlegt.

Der nach ersten Beobachtungen aufgetretene Verdacht, dass Nimda auch Macintosh-Rechner befallen kann, hat sich nicht erhärtet. Nach aktuellem Kentnissstand erscheint es sehr unwahrscheinlich, dass der Schädling auf Nicht-Windows-Systemen aktiv werden kann.


Der Nimda-Wurm installiert auf befallenen Web-Servern eine Datei namens "readme.eml" und baut JavaScript-Code in die Webseiten ein, die diese Datei nachladen. Besucht ein Surfer den befallenen Web-Server, lädt sein Browser diese Datei und führt sie bei manchen Versionen des Internet Explorer sogar ungefragt aus.

In Firmennetzen kann ein Proxy-Server dafür sorgen, dass die gefährliche Datei nicht auf den Rechner der Surfer gelangt. Die folgenden Einträge in der Konfigurationsdatei "squid.conf" des Web-Proxies Squid bewirken, dass dieser Dateien mit der Endung ".eml" blockiert:


# .eml-Dateien ausfilternacl worm urlpath_regex -i \.eml$http_access deny worm

Gegen Infektion durch E-Mail schützt dies natürlich nicht.

Child of the sun 8)

Signatur von »Child of the sun« 8) 8) 8) FUN IN THE SUN 8) 8) 8)

Lesezeichen: