computerwoche.de

Web

ACHTUNG: Gefährlicher neuer Wurm im Umlauf!

18.09.2001
Ein neuer Wurm namens "Nimda" stellt offensichtlich alle bisher dagewesenen Schädlinge (Code Red und Blue, Sircam etc.) in Sachen Bösartigkeit in den Schatten. Wie seine Vorgänger macht sich der Erreger Schwachstellen in Microsoft-Produkten zunutze.

MÜNCHEN (COMPUTERWOCHE) - Heute ist erneut ein gefährlicher Wurm aufgetaucht, der Server und PCs unter Microsoft Windows NT/2000 (möglicherweise auch alle 32-Bit-Versionen) attackiert. Er wird zurzeit unter den Namen "Nimda" (Admin rückwärts gelesen) oder "W32/Nimda@MM" gehandelt. Größte Schadwirkung sind offenbar massive Netzwerk-Scanvorgänge, die bereits etliche Server und ganze Firmennetze lahm gelegt haben sollen.

Fest steht bereits, dass sich die Server-Komponente des Schädlings unter anderem über die bereits seit "Code Blue" bekannte "Unicode-Directory-Traversal"-Sicherheitslücke im Internet Information Server (IIS) weiter verbreitet. Nach Aussagen des Sicherheitsexperten Roger Thompson von TruSecure scannt der Wurm attackierte Systeme auf praktisch alle bekannten Sicherheitslücken und nutzt diese falls vorhanden gnadenlos aus. Als Transportmittel verwendet er offenbar E-Mail, HTTP (das Hypertext Transfer Protocol) und in einem Netz gemeinsam genutzte Datenträger. Sogar IIS-Webseiten kann er mit entsprechendem Javascript-Code manipulieren, so dass bloßes Vorbeisurfen mit dem Internet Explorer bereits für eine Infektion ausreicht. Selbst IRC- und FTP-Komponenten wollen Experten bereits entdeckt haben. "Sieht aus, als hätte man hier ein Schweizer Offiziermesser programmiert", konstatiert Thompson. "Nimda ist ganz sicher

schneller, agressiver und böser als Code Red."

Die schädliche Datei "Readme.exe" oder auch "Readme.eml" enthält einen veränderten Header, der dem System vorgaukelt, es handele sich um eine Audiodatei. Sie kann bereits bei bloßer Betrachtung im "Outlook"-Vorschaufenster aktiv werden, ohne dass die Mail geöffnet wird. Mittels MAPI- und MIME-Manipulationen ist der Wurm offenbar auch in der Lage, Microsofts Mail-Client automatisch mit mittlerer Sicherheitsstufe auszuführen. Das Computer Emergency Response Team (CERT) an der amerikanischen Carnegie Mellon University (das außerdem heute genau so wie Incidents.org massiv ansteigende Scanning-Aktivitäten auf dem HTTP-Port 80 meldet, die mit dem Wurm in Verbindung stehen könnten) empfiehlt allen Anwendern, unbedingt ihre IIS-Server und Mail-Clients vorbeugend mit den aktuellen Sicherheits-Patches zu versehen.

Auch die US-Bundespolizei FBI ermittelt bereits. Sie teilte mit, eine Hackergruppe namens "Dispatchers" habe für heute Angriffe auf "Kommunikations- und Finanzinfrastruktur" angedroht.

Die großen Antiviren-Anbieter arbeiten bereits unter Hochdruck an aktualisierten Definitionen für ihre Scanner und andere Gegenmittel.