Wien - Virenschützer warnen vor einem
Computervirus, der sich sowohl über E-Mail, Webpages als auch
selbstständig über ungesicherte IIS-Server verbreitet. Der Wurm hat nach
den bisherigen Analysen von McAfee und Symantec keine Schadensfunktion,
allerdings belastet der zusätzlichen Datenverkehr die Netzwerke. Der Wurm
soll sich nach den Informationen der Virenschützer sehr schnell
verbreiten.
Nimda.exe baut in die Webseiten auf den infizierten Servern einen
Java-Script-Code ein. Damit wird ein zusätzliches Browser-Fenster ohne
Zutun des Benutzers geöffnet, sobald die Seite auf dem Server angesurft
wird. "Indem die Seite angesurft wird, kann ihr Computer bereits
infiziert werden", heißt es in der Aussendung von Symantec
http://www.symantec.com . Als Schutzmaßnahme raten Virenschützer,
Java-Script auf dem Computern zu deaktivieren.
Wenn der Wurm sich als E-Mail verbreitet, erhält der Benutzer eine
Nachricht mit einer zufällig erzeugten Betreffzeile. Nimda.exe verfügt in
diesem Fall über ein executable Attachment Readme.exe. Nach Angaben von
Symantec gelangt die Funktion bereits zur Ausführung, wenn das E-Mail
geöffnet wird oder mit der Vorschaufunktion in Microsoft Outlook und
Microsoft Outlook Express betrachtet wird. Diese MIME-Schwäche ist
bereits seit längerem bekannt und lässt sich durch das Einspielen des
Microsoft-Patches beheben.
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
Der Wurm sucht nach E-Mail-Adressen in .htm- und .html-Files. Diese
Adressen werden auch für den Absender verwendet, so dass der infizierte
Computer nicht als Absender ersichtlich ist. Wie SirCam verfügt Nimda.exe
über einen eigenen SMTP-Server, um sich selbst weiter zu verbreiten.
Gleichzeitig scant der Wurm die IP-Adressen auf der Suche nach
IIS-Server, die mit der Folder Transversal Vulnerability angegriffen
werden können. Daneben versucht der Wurm die Hintertür, die von Code Red
zurückgelassen wurde, auszunutzen.
