[rohrpost] INFO: Neuer Internetwurm "W32/Nimda.A"

Hendrik Naumann rohrpost@mikrolisten.de
Wed, 19 Sep 2001 16:07:53 +0200


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Es wird immer besser ... aus dem Heise-Ticker 

Schutzmaßnahmen gegen den Nimda-Wurm (Update)

Der Verdacht, dass man den eigenen PC allein durch das Surfen mit dem
Internet Explorer mit dem neuen Virus "Nimda"[1] infizieren kann, hat
 sich bestätigt. Der Wurm befällt Web-Server, die unter Microsofts
 Internet Information Server laufen und baut in deren Web-Seiten
 Java-Skript-Code ein, der eine Datei namens "readme.eml" nachlädt.
 Er nutzt dazu diverse Sicherheitslücken des IIS aus.

Da sich der Wurm anscheinend noch schneller als Code Red verbreitet,
 sollte man als Schutzmaßnahme unbedingt JavaScript beziehungsweise
 "Active Scripting" deaktivieren. Das hat zwar zur Folge, dass manche
 Web-Seiten nicht mehr funktionieren, aber in Anbetracht des hohen
 Infektionsrisikos sollte man das in Kauf nehmen. Nähere
 Informationen,wie das zu geschehen hat, finden Sie auf unseren
 Browsercheck-Seiten[2]. Netzwerk-Adminstratoren sollten versuchen,
 auf ihren Proxies die Übertragung von Dateien mit dem Namen
 "readme.eml" zu unterbinden[3].

Außerdem verbreitet sich der Wurm per E-Mail. Die Mails enthalten ein
Attachment namens "readme.exe", das den MIME-Typ Audio/WAV trägt.
 Bestimmte Versionen Versionen von Outlook Express öffnen dieses
 Attachement ohne Zutun des Benutzers schon beim Anzeigen der Mail.
 Dieser Bug lässt sich durch das Einspielen eines Patch von
 Microsoft[4] beheben.
Netzwerk-Adminstratoren sollten, wenn möglich, die Übertragung von
EXE-Dateien als Attachment auf ihren Mail-Gateways blockieren.

Und schließlich breitet sich Nimda auch über Windows-Datei-Freigaben
 aus. Wie das geschieht und wie man es unterbinden kann, ist derzeit
 noch unklar.

Mittlerweile bieten auch die ersten Antiviren-Hersteller
 Informationen und teilweise auch Updates zu Nimda an. Die meisten
 Antiviren-Programme können den Schädling erst nach einem Update
 erkennen und unter Umständen auch entfernen.

Sophos   http://www.sophos.com/virusinfo/analyses/w32nimdaa.html[5]

NAI:  http://vil.nai.com/vil/virusSummary.asp?virus_k=99209[6]

F-Secure:  http://www.f-secure.com/v-descs/nimda.shtml[7]

Symantec:
 http://www.sarc.com/avcenter/venc/data/w32.nimda.a@mm.html[8]

Frisk (F-Prot): http://www.frisk.is/f-prot/virusinfo/nimda.html[9]

Kaspersky: http://www.kaspersky.com/news.asp[10]

 (ju[11]/c't)

URL dieses Artikels:
 http://www.heise.de/newsticker/data/ju-18.09.01-000/

Links in diesem Artikel:
 [1] http://www.heise.de/newsticker/data/pab-18.09.01-000/
 [2] http://www.heise.de/ct/browsercheck/
 [3] http://www.heise.de/newsticker/data/ju-18.09.01-001/
 [4]
 http://www.microsoft.com/windows/ie/downloads/critical/patch9/defaul
t.asp [5] http://www.sophos.com/virusinfo/analyses/w32nimdaa.html [6]
 http://vil.nai.com/vil/virusSummary.asp?virus_k=99209
 [7] http://www.f-secure.com/v-descs/nimda.shtml
 [8] http://www.sarc.com/avcenter/venc/data/w32.nimda.a@mm.html
 [9] http://www.frisk.is/f-prot/virusinfo/nimda.html
 [10] http://www.kaspersky.com/news.asp
 [11] mailto:ju@ct.heise.de

- --------------------------------------------------------------------
Copyright 2001 by Verlag Heinz Heise

- -------------------------------------------------------
- -- 
PGP ID 21F0AC0265C92061
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.3 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQE7qH7BIfCsAmXJIGERAkqbAJ94vq6Sx8SrkQD3X3Za4QmifxlvtQCeII90
q3F5hd5Wmy/Dmo7RrccW67w=
=9dv/
-----END PGP SIGNATURE-----