hallo alexander,
folgendes schreibt fa. ikarus (at):
W32.NIMDA
Trotz der angespannten politischen Lage, schrecken Virenschreiber nicht
davor zur�ck, Ihre Werke und damit neue Sch�dlinge in Umlauf zu bringen.
Die j�ngste Bedrohung geht dabei vom erstmal in Korea lokalisierten
W32.Nimda Wurm aus. Das Virus zeichnet sich dadurch aus, da� es eine
ganze Reihe von Vulnerability�s (Angreifbare L�cken im System) aufzeigt
und ausnutzt um sich zu Verbreiten.
Enormes Verbreitungpotential
Auf den ersten Blick handelt es sich beim Nimda Virus um einen weiteren
Mass-Mailer, also ein Virus, da� sich via eMail verbreitet.
Das Virus durchsucht dazu alle HTM und HTML Dateien in den Tempor�ren
Internet Foldern nach eMail Adressen ebenso wie es diese aus der �INBOX�
des Mailprogramms auslesen kann. �ber einen eigenen SMTP Server
verschickt sich das Virus an alle gesammelten Adressen.
Aber nicht genug damit:
Nach genaueren Analysen zeigt sich, da� das Nimda Virus sich nicht nur
via eMail sondern auch wie der CodeRED via Sicherheitsl�cken im IIS
(Internet Information Server) verbreiten kann.
Dar�berhinaus ist Nimda das erste Virus, das seine Code auch gezielt
�ber WebSites verbreitet. Das Virus ist in der Lage �ber infizierte PC�s
nach �angreifbaren� WebSites zu suchen auf dem es seinen Code plazieren
und zum Download bereitstellt.
Das Virus infiziert daf�r alle .ASP, .HTM und .HTML Dateien sowie alle
Dateien mit den Namen INDEX, MAIN und DEFAULT mit einem eigenen
Javascript Code und legt damit seinen gesamten Code auf der infizierten
Seite ab. Ein Besuch dieser Seite ohne entsprechende Absicherung des
Browsers f�hrt zu einer weiteren Infektion.
ACHTUNG:
Die eMails die vom Virus erzeugt werden nutzen eine Vulnerability
(Angreifbare L�cke im System) im MIME (Mailformat) dazu, da� eMail
Attachments unter Outlook und Outlook Express automatisch, nur durch da�
blo�e Lesen ohne Doppelklick auf das Attachment aktiviert werden k�nnen.
Die gilt auch f�r Mails die �ber den Internet Explorer (Version 5.01 und
5.5 ohne Servicepack 2) abgerufen werden. Es empfiehlt sich jedoch
dringlich den angebotenen Patch von Microsoft zu installieren.
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/secur
ity/bulletin/MS01-020.asp
Kein Wunder also, da� das Nimda Virus in k�rzester Zeit durch mehrer
hundert Infektionen auf sich auf aufmerksam machte. �sterreich hat das
Virus am sp�teren Nachmittag des 18. September erreicht. Betroffen sind
alle Windows-Anwender mit den Betriebssystemen Win95/Win98/WinME sowie
WinNT und Win2000.
Eindeutig zu erkennen ist das Virus NUR durch sein Attachment, das
gleich wie bei dem nur seit wenigen Wochen aktiven W32. APOST.A, auf
README.EXE lautet.
Der Betreff wird durch das Virus unterschiedlich generiert und besteht
im Regelfall aus einer verwirrenden Zahlen-Buchstaben Kombination. Das
Mail behinh�lt dabei keinen Mailtext.
Betreff: � .. zuf�lliger text �
Mailtext: �leer�
Attachment: README.EXE
Gleich wie CodeRED kann das Nimda Virus �ber eine Unicode Attacke auch
IIS (Internet Information Server) infizieren und sich verbreiten. Der
Wurm scannt daf�r nach IP-Adressen auf IIS Servern. Dabei verh�lt sich
das Virus gleich wie der CodeRED.C in dem es versucht das gleiche
Backdoorprogramm (Trojaner) zu installieren.
Sollte der Patch der diese L�cke f�r IIS Server schlie�t noch nicht
eingespielt worden sein, empfiehlt sich diese Ma�nahme �beraus
dringlich.
http://www.microsoft.com/technet/security/bulletin/ms00-078.asp
Nicht genug damit verbreitet sich das Virus auch �ber freigebene
Verzeichnisse oder Platten �ber das Internet ebenso wie �ber interne
Netze. Es nutzt dazu, wie schon ein anderes Virus (W32.CodeBlue) die
sogenannte Microsoft Web Folder Transversal Vulnerability um in
infizierten Netzen Laufwerke frei zu geben. Das Virus erzeugt daf�r auf
jeder infizierten Maschine eigene Verzeichnisse die zus�tzlich frei
gegeben werden. Auf WinNT und Win2000 PC�s und Servern handelt es sich
dabei um Verzeichnisse die keine Passwort Abfragen mehr ben�tigen. Nach
einem Reboot der befallenen Maschinen erh�lt der User GUEST zudem volle
Administratoren Rechte.
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/secur
ity/bulletin/ms00-078.asp
Dar�berhinaus kopiert sich das Virus als LOAD.EXE ins Windows System
Verzeichnis und erzeugt eine eigene SYSTEM.INI um sicherzustellen, das
es beim Reboot des PC�s auch verl�sslich wieder gestartet wird.
Shell=explorer.exe load.exe -dontrunold
Sicheres Indiz f�r das Vorhandensein des Wurms ist zudem die Existenz
der von README.EML Dateien in allen Windows Verzeichnissen sowie Kopien
des Wurms auf C:\, D:\ und E:\ mit dem Namen ADMIN.DLL.
Seine Schadensfunktion besteht �zum Gl�ck NUR� darin, da� das Virus
versucht soviel wie m�glich an Traffic zu erzeugen um befallene Netze
damit zu �berlassten und wenn m�glich zum Ausfall zu bringen. Besonders
in Mitleidenschaft gezogen werden dabei, wie beim CodeRED, wieder alle
Kabelnetze.
Tipp vom Virendoktor:
Spielen Sie unverz�glich die von Microsoft angebotenen Patches ein !!
Wir empfehlen mit Nachdruck keine Attachments mit der Endung EXE zu
starten, von denen nicht sicher gestellt ist, welche Aktionen sie
tats�chlich ausl�sen. Stehen Sie JEDEM ausf�hrbaren Dateianhang kritisch
gegen�ber! L�schen Sie Attachments im Zweifelsfall. Starten Sie keine
Attachments ohne diese vorher auf Viren gepr�ft zu haben.
Aktivieren Sie wenn m�glich einen eMail Filter, der Attachments, die
Executables enthalten, abblockt bzw. in eigens daf�r vorgesehene
Quarant�nebereiche stellt.
Ein Update Ihres Virenschutzprogammes ist empfehlenswert.
gr�sse
mc [www.emsi.at]
// -----Urspr�ngliche Nachricht-----
// Von: Ganz Alexander [mailto:[EMAIL PROTECTED]]
// Gesendet: Mittwoch, 19. September 2001 08:51
// An: AspGerman Kaffeehaus
// Betreff: [aspdecoffeehouse] Virus!
//
//
// Hallo Allerseits!
//
// Wir haben gerade festgestellt, da� alle unsere
// Internetserver von dem neuen Virus befallen sind. Dieser
// installierte sich nun fr�hlich bei allen IE Usern unter 6
// ohne SP2 bevor wir sie vom Netz genommen haben. Bisher habe
// nur Infos gefunden, da� es diesen Virus gibt... Aber was ich
// kann ich dagegen tun.
// Gibt es schon ein Gegenmittel?
//
//
// Viele Gr�sse
// Alex!
//
// | [aspdecoffeehouse] als [EMAIL PROTECTED] subscribed
// | http://www.aspgerman.com/archiv/aspdecoffeehouse/ =
// Listenarchiv Sie
// | k�nnen sich unter folgender URL an- und abmelden:
// |
// http://www.aspgerman.com/aspgerman/listen/anmelden/aspdecoffe
ehouse.as
| p
| [aspdecoffeehouse] als [email protected] subscribed
| http://www.aspgerman.com/archiv/aspdecoffeehouse/ = Listenarchiv
| Sie k�nnen sich unter folgender URL an- und abmelden:
| http://www.aspgerman.com/aspgerman/listen/anmelden/aspdecoffeehouse.asp
