18. September 2001
Nach dem aufsehenerregenden Virenspuk Mitte des Jahres
wird das Internet aufs neue einer solchen – inzwischen
schon nicht mehr als außergewöhnlich zu bezeichnenden –
Belastungsprobe unterzogen, die auf zerstörerische Absichten
der verantwortungslosen Cracker und auf Unzulänglichkeiten
von Software des Herstellers Microsoft zurückzuführen ist.Internet-Wurm Nimda grassiert
Alias-Namen: TROJ_NIMDA.A, NIMDA.A, W32/Nimda.A@mm, PE_NIMDA.A, W32.Nimda, W32/Nimda-A, Code Rainbow, Minda, Nimbda (der Name Nimda kommt von Admin[istrator], von hinten nach vorne gelesen)
Dieser neue Schädling greift offenbar rasend schnell von Japan und den USA auf Europa über und wurde ebenso rasch von allen Antiviren-Labors als hohes Risiko eingestuft. Er kann laut McAfee alle ungeschützten Anwender von Win9x/NT/2000/ME (Macintosh?) infizieren!
Symantec bedachte W32.Nimda.A@mm zunächst mit Risikostufe 3 – vor allem wegen seiner extrem schnellen Verbreitung. Nach wenigen Stunden kürte Symantec den Virus mit Stufe 4, weil die Verbreitung noch weit schneller lief, als die Experten für möglich gehalten hatten.
Die Hersteller von Antiviren-Software sehen sich mit einer vollkommen neuen Bedrohung konfrontiert, da das bösartige Computer-Programm hochkomplex, stark verschlüsselt und polymorph ist: Nimda kennt alleine 16 verschiedene Möglichkeiten, den Internet Information Server (IIS) von Microsoft anzugreifen, verbreitet sich darüber hinaus per Mail und über das Netzwerk und hat die Fähigkeiten eines Massen-Mailers.
Vor allem Firmennetzwerke und Benutzer von Kabelmodems sind akut betroffen. Momentan scheint es, als würden wieder Kunden des Kabelmodem-Providers Chello, die schon unter Code Red litten, stark gefährdet sein.Unter gegebenen Voraussetzungen kann auch der bloße Besuch einer Web-Seite (deren Web-Server ebenfalls mit Nimda infiziert wurde) mit dem Internet Explorer ab Version 5.01 zur Infektion führen. Microsoft hält für diese Verwundbarkeit schon seit längerem einen Patch (Software-Korrekturprogramm) bereit.
»Mir ist nicht bekannt, daß es jetzt, nach zwölf Stunden, einem Hersteller von Antiviren-Software gelungen wäre, Nimda vollständig zu analysieren«, erklärte der Geschäftsführer von Trend Micro Deutschland, Raimund Genes, gegenüber ZDNet. Das sei auch der Grund dafür, warum die bisherigen Virendefinitionen relativ schwammig klingen und sich ständig ändern.
Die einzige bisher bestätigte Schadfunktion – neben, wie üblich, Selbstvervielfältigung und -versendung via eMail – ist ein Öffnen der Netzwerkfreigaben, das heißt, es kann von außen auf die Festplatten und sonstigen Datenträger der infizierten Computer unbemerkt zugegriffen werden, die Maschinen können »ferngesteuert« werden. Es werden also offenbar zunächst keine Dateien gelöscht oder verändert, der PC wird nicht dermaßen beschädigt, daß er unbrauchbar wird. Gerade das kann aber eine besonders perfide Absicht sein: Der unbedarfte Anwender merkt so schnell nichts von der Infektion.
Nach Genes’ Angaben haben die unbekannten Virenautoren für Nimda Teile der bereits bekannten Würmer Code Red und Code Blue kombiniert und den bereits mit MagistrA verbreiteten eigenen SMTP-Client zweitverwertet. »Ich glaube auch nicht, daß es sich dabei um Einzelpersonen handelt, denn der Code ist sehr komplex, und es würde für einen alleine sehr lange dauern, etwas wie Nimda zu schreiben.« Sobald für die Antiviren-Software ein Update bereitsteht, ist diese dringend zu aktualisieren!
Ob ein Rechner bereits von Nimda befallen ist, könne man laut Heise am einfachsten überprüfen, indem man im Windows-Verzeichnis nach einer 57.344 Bytes großen Datei namens load.exe sucht. »Wenn diese vorhanden ist, sollte zuallererst der Rechner vom Netzwerk und vom Internet getrennt (Hinweise für Kabelmodem-Benützer) werden, damit er nicht zu der weiteren Verbreitung beiträgt. Anleitungen zum Entfernen des Virus halten mittlerweile sämtliche Hersteller gängiger Virenschutzprogramme auf ihren Web-Seiten bereit.«
Die Frankfurter Internet-Agentur Sixworx hat eine Testseite zum Computer-Virus Nimda ins Netz gestellt. Wie das Unternehmen mitteilte, kann der Internet-Nutzer mit Hilfe der Web-Seite testen, ob sein eigenes Windows-System gegen den Virus resistent ist. »Startet der eigene Rechner nach dem Aufruf der Internet-Testseite das Windows-Schreibprogramm Notepad, bedeutet dies, daß das System nicht sicher ist«, beschrieb Sixworx-Geschäftsführer Oliver Maciejewski den Test. Bei Infektion öffnet sich Notepad.
Möglich werde dies, indem das von Nimda auszuführende Programm – der eigentliche Virus – durch den Aufruf von Notepad ersetzt wurde. Öffnet sich das Windows-Programm, wird dringend empfohlen, auf den Internet Explorer in der Version 5.5 (Service Pack 2) oder Version 6.0 zu aktualisieren.
Ein Zusammenhang zwischen dem Ausbruch des Virus und den jüngsten, tragischen Ereignissen in den Vereinigten Staaten wird – nachdem anfangs hie und da diezbezügliche Vermutungen zu vernehmen waren – mittlerweile von den meisten Nachrichtendiensten nicht mehr in Betracht gezogen.
Am 20. dann allgemeine aber zurückhaltende Entwarnung, die Zahl der Neu-Infektionen von Computern mit Nimda scheint langsam zu sinken. Amerikanische Medien schätzen die Zahl der infizierten Server auf rund 2,2 Millionen und die Höhe des dadurch bisher verursachten Schadens auf 530 Millionen US-Dollar.
28.: Eine von mehreren Antiviurus-Experten befürchtete, automatische »Wieder-Aktivierung« des Virus-Codes auf infizierten Maschinen findet nicht statt. Wobei natürlich nicht gewährleistet ist, daß es nicht doch zu Spätfolgen kommen kann, von denen man bisher noch keine Ahnung hat, – eine uralte Binsenweisheit. Offenbar ist man sich bei der Analyse des Virus noch immer nicht ganz sicher, selbst die Spezialisten tappen weitgehend im Dunklen, wie diese weitere überflüssige und grundlose Meldung zeigt, die natürlich von allen Online-Medien fleißig verbreitet wird. Ach ja... Vorsicht! Der nächste Regen kommt bestimmt!
1. Oktober: U.S.-amerikanische Spezialisten für Computer-Sicherheit warnen vor einer gefälschten Datei mit dem Namen FIX_NIMDA.exe, die einer eMail mit ebenfalls gefälschten Absender-Angaben lautend auf Trend Micro Inc. (der bekannten Antivirus-Firma aus Cupertino in Kalifornien) oder SecurityFocus (ARIS Analyst Team, einer IT-Sicherheits-Website) als Attachment (Datei-Anlage) beigefügt ist. Diese elektronische Post täusche vor, eine Reparatur- und Schutz-Software (Fix-Tool) gegen den Nimda-Virus zu beinhalten, so die Warnung.
Dabei handele es sich aber in Wahrheit nicht um ein solches Tool, sondern vielmehr um einen weiteren Trojaner mit noch unbekannter Schadfunktion. Um diesen besonders gut zu tarnen, ist die ebenfalls im Anhang vorhandene Readme-Datei eine Kopie der von Trend Micro tatsächlich herausgegebenen Anweisung für die Abwehr von Nimda.
EMails mit diesen Attachments also nicht öffnen sondern sofort löschen. Auch dieses Auftauchen eines Trojaners in Form eines falschen Antivirus-Tools zu einem populären Netz-Virus stellt keine Neuigkeit dar, wurde in der Vergangenheit schon öfter wahrgenommen und war in diesem Falle fast zu erwarten. Wie leicht zu erkennen ist, bedienen sich die Viren-Autoren immer wieder derselben Taktik, und trotzdem gibt es jedesmal genug, die darauf reinfallen.
Stellungnahmen dazu von Trend Micro und von SecurityFocus. Die Erklärung von Trend Micro war seltsamer- und bemerkenswerterweise nach ein paar Stunden wieder verschwunden. Als einziger Beweis, daß sie einmal vorhanden war, bleibt vorerst nur das Ergebnis einer Suchanfrage auf der offiziellen Trend-Micro-Homepage mit ein paar ins Nirwana führenden, jedoch eindeutigen Hyperlinks, beziehungsweise konnte noch rasch ein Bildschirmfoto (»WARNING: A fake message claiming to come from...«) von der Web-Seite der australischen Filiale von Trend Micro geschossen werden, bevor auch diese womöglich sang- und klanglos bei Nacht und Nebel verschwindet.
Dabei kann einem ja wirklich der Humor ausgehen! Schön langsam haben wir diese raffinierten Radierungen in der Geschichtsschreibung – sogar von renommierten Antivirus-Unternehmen – nämlich satt. Wenn man einen Fehler macht, und davor ist schließlich niemand gefeit, sollte man nach guter alter Dokumentationstradition ein offizielles Erratum anlegen und veröffentlichen, das wäre seriös, nachvollziehbar, transparent und wissenschaftlich fundiert.
Insgesamt spiegelt dieser Vorfall hervorragend die äußerst labile Situation im Bereich IT-Sicherheit heutzutage wider: Neben purer Zerstörungswut und (kaum mehr virtuellen, dafür umso feigeren) Amokläufen nichts wie Fälschungen, Halbwahrheiten, Irrtümer, reißerische Falschmeldungen und geldgierige Institutionen und Verlage, denen ihre eigene, bedeutungslose Reputation allem Anschein nach wichtiger ist als der aufrichtige Kampf gegen die vorherrschende Virenflut, die wohl nächstens das Netz komplett lahmlegen wird, wenn das so weitergeht.
Selbst das bisher anerkannte »Nachrichtenmagazin« Der Spiegel kann es nicht lassen zu beweisen, wie gut es ist, indem es durch das jüngste Veröffentlichen der vollen Namen und Bezeichnungen von – keineswegs idiotensicheren – Viren-Baukästen (Abb.) sein Schärflein dazu beiträgt, die nächste Generation von Scriptkiddies heranzuzüchten!
Der sicherheitsbewußte Computer-Anwender muß sich da gut überlegen, ob er diese letztklassige und völlig verantwortungslose Vorgangsweise vielleicht auch noch durch das Überweisen von erheblichen Abo-Gebühren an das Magazin unterstützen soll. Die paar »wirklich wichtigen Artikel« kann man/frau prima beim Frisör lesen.
Berichte zu dem Fake-Tool auch bei The Register und SecurityNewsPortal.
Es ist davon auszugehen, daß die gefälschte Datei auch auf anderen Wegen in Umlauf kommt. Solche Fix-Tools und jegliche Antiviren-Software sollten daher ausschließlich direkt von den Web-Seiten anerkannter Antivirus-Hersteller heruntergeladen werden, und dies gilt natürlich nicht nur in Zusammenhang mit dem Nimda-Wurm!
Ein Hardliner empfiehlt dazu: »Ist ein System kompromittiert, ist es neu aufzusetzen. Da ist es herzlich egal, von welchem Hersteller und welcher Homepage so ein Tool kommt.«
Informationen über Nimda:
RUS-CERT: Neuer Wurm nutzt mehrere Schwachstellen zur Verbreitung aus
RUS-CERT: Entfernung des Nimda-Wurmes
Trend Micro: TROJ_NIMDA.A Profil
Trend Micro: PE_NIMDA.A (Virus Profile, engl., Tool zum Entfernen)
Trojaner-Info.de: W32.Nimda
Trojaner-Info.de: Analyse Win32/Nimda-Wurm
Sophos: W32/Nimda: Neuer Mass-Mailing-Virus, Angriff von zwei Fronten (Dienstprogramme zum Entfernen und Desinfizieren)
Sophos: W32/Nimda-A (Analyse)
Kaspersky Labs: Information about the Network Worm "Nimba" (down)
Kaspersky Labs: Do Not Use the Internet or E-Mail without the Patch
McAfee: W32/Nimda@MM (engl.)
Symantec: W32.Nimda.A@mm (engl.)
F-Secure: Nimda Virus Description (engl., Grafiken)
Slashdot: New (More) Annoying Microsoft Worm Hits Net
Spiegel: Experten warnen vor "Nimda"
Spiegel: Erste Schadensbilanz: Schon mehr als 130.000 infizierte Rechner?
Spiegel: Das Schlimmste scheint vorüber
Heise-Newsticker: Gefährlicher neuer Virus im Umlauf
Heise-Newsticker: Schutzmaßnahmen gegen den Nimda-Wurm
Heise-Newsticker: Squid-Proxy filtert Nimda-Wurm
Heise-Newsticker: Keine Angst vor Nimda: So können Sie sich schützen
Heise-Newsticker: Nimda: Es hätte schlimmer kommen können
ARD-Tagesschau: Internet-Virus "Nimda" schlägt zu
WebStandard: Experten warnen vor neuem Internet-Wurm
WebStandard: Internet-Wurm "Nimda" schlug in Japan zu
WebStandard: Chello extrem gefährdet - Provider von Abschaltung bedroht
WebStandard: So verbreitet sich Nimda
WebStandard: "Nimda" hat auch in Österreich zugeschlagen
WebStandard: Nimda infiziert auch Microsoft
WebStandard: Was tun wenn "Nimda" zugeschlagen hat?
WebStandard: Chello-Stellungnahme zu Nimda
WebStandard: Kein Zusammenhang zwischen Nimda und Terroristen-Angriffen in den USA
WebStandard: "Nimda" lässt Computer-Nutzer weltweit zittern
WebStandard: Höhepunkt des Angriffs scheint überschritten zu sein
ORF-FutureZone: Wurm "Nimda" ist schon in Europa, Kabel-ISP Chello extrem gefährdet
ORF-FutureZone: "Nimda" wütet auch in Österreich
ORF-FutureZone: "Nimda"-Wurm fordert zahlreiche Opfer
ZDNet News: Dringende Warnung vor Nimda-Virus
ZDNet News: Zehntausende Nimda-Infektionen in Europa
ZDNet News: Nimda zieht Schneise der Verwüstung
ZDNet News: Experten: Nimda hat nichts mit Terroristen zu tun
ZDNet News: MS: Nimda war nie auf einem unserer Server
Microsoft: Information on the "Nimda" Worm
MessageLabs: W32/Nimda.A-mm (engl., Statistik)
BBC: New virus infects the internet
CNN: FBI investigating new Internet worm
Diskussion über Nimda in der Usenet-Newsgruppe de.comp.security.misc, über Googles Usenet/WWW-Spiegel und im Forum dieser Website.
Sorglose Breitband-User werden abgeklemmt
Übersetzung des BBC|SCI/TECH-Artikels
Turning against the web worms
von Mark Ward, 6. Oktober 2001
Breitband-Usern, die ihren PC nicht vor Computer-Viren schützen, könnte der Internet-Anschluß abgedreht werden.
Durch die jüngsten Überflutungen mit Web-Würmern wie Code Red und Nimda sehen sich viele Internet-Service-Provider dazu gezwungen, mit Kunden, deren Computer infiziert sind, Tacheles zu reden.
Unternehmen im Vereinigten Königreich und in den Vereinigten Staaten haben schon bisher das Vertragsverhältnis mit jenen gekündigt, die ihre Heim-Computer unwissentlich als Scanner nach anderen verwundbaren Maschinen eingesetzt haben.
Die enormen Datenmengen, die von diesen Web-Würmern produziert werden, können die eMail-Abwicklung verzögern, die Surf-Geschwindigkeit verlangsamen und sogar Web-Server ausschalten. Auch wenn gefährliche Web-Würmer wie Code Red und Nimda noch keine Bedrohung für das Netz als Ganzes darstellen, können sie doch in kleineren Netzwerken von Firmen oder in Sub-Netzwerken von DSL- oder Kabelmodem-Providern gehöriges Chaos anrichten.
Die schädlichen Programme werden Würmer genannt, weil sie sich ohne das Zutun der Anwender über die Netzwerke verbreiten können. Die neueren Versionen von Code Red und neuartige Web-Würmer wie Nimda werfen weitere Probleme für jeden auf, der sie aufhalten will, weil sie bei ihrem Unterfangen, verwundbare Maschinen zu finden und zu infizieren, ganze Arbeit leisten.
Diese Würmer suchen nach Opfern, die sich im selben Teilbereich (Subsection) des Internets aufhalten wie die infizierte Maschine, eine Taktik, die Hochgeschwindigkeitsnetze mit riesigen Datenmengen überschwemmen kann.
In den Vereingten Staaten haben zwei Netzbetreiber, Speakeasy und DSL Inc., direkte Maßnahmen gegenüber Kunden ergriffen, die ihre Maschinen nicht abgesichert hatten oder nichts dazutun wollten. Speakeasy schrieb den Kunden eine eMail: »Wir alle sind Teil einer größeren Gemeinschaft, und es ist nicht wirklich cool, seine Nachbarn anzustecken.«
Die Firma DSL Inc. unternahm ähnliche Schritte, indem sie die Leute abklemmte und deren Zugangspasswörter änderte. Die einzige Möglichkeit für die Kunden, wieder online zu gehen, ist, die Helpline der Firma anzurufen und darum zu ersuchen, daß die Internet-Verbindung wieder aktiviert wird.
Im Vereinigten Königreich hat der Provider Telewest damit begonnen, Kunden einer besonderen Behandlung zu unterziehen, die nicht wissen, daß sie infiziert sind, oder die keine Maßnahmen ergreifen, Code Red oder Nimda von ihren Maschinen zu entfernen.
»Es gab ein paar Hundert, die keine Vorkehrungen getroffen hatten«, sagte ein Sprecher von Telewest, »keine Firewall oder Antivirus-Software.«
Er sagte, die Firma habe den infizierten Kunden über News-Gruppen und direkt per eMails mitgeteilt, entweder sie stellten das ab, oder die Dienstleistungen würden ausgesetzt. Als die betroffenen Kunden dann anriefen, um herauszufinden, wo ihre Verbindung zum Internet geblieben ist, erklärten ihnen die Support-Mitarbeiter, wie sie ihre Maschinen zu desinfizieren und Patches zur Verhinderung zukünftiger Infektionen zu installieren haben.
»Wir betrachten es als unsere Verantwortung«, sagte der Sprecher, »das Internet- und Netzwerk-Service für den Großteil unserer Kunden zu beschützen. Obwohl das Abklemmen von Kunden nicht ausgemacht gewesen ist, hat es sich als Taktik bewährt, welche die Firma wieder einsetzen wird, sobald weitere Web-Würmer zu randalieren beginnen.«
Diskussion über den Artikel »Sorglose Breitband-User werden abgeklemmt« in der Usenet-Newsgruppe de.comp.security.misc, über Googles Usenet/WWW-Spiegel und im Forum dieser Website.
eMail-Wurm BadTrans
Verschiedene Hersteller von Anti-Viren-Programmen warnen vor mehreren Varianten des eMail-Wurms BadTrans. Im Text der HTML-Mail kann »Take a look to the attachment« stehen, das Subject ist leer oder enthält »Re:«. Die Bezeichnung des Anhangs besteht neben einem interessant klingenden Dateinamen aus der Extension ».doc«, ».mp3« oder ».zip« sowie der Endung ».pif« oder ».scr«. Mögliche Dateinamen könnten »YOU_are_FAT!.TXT.pif«, »New_Napster_Site.DOC.scr« oder ähnliche sein.
 |
Die infizierten eMails sofort löschen! Damit ist die Infektionsgefahr gebannt. Keinesfalls das Attachment (Datei-Beilage) öffnen! Nicht auf das Programm-Symbol des Datei-Anhangs doppelklicken. Erst dadurch würde der Virus aktiviert. |
Heise Newsticker: Schutzmaßnahmen gegen den neuen eMail-Wurm »BadTrans«
Heise Newsticker: Würmer und Konsorten: Die BadTrans-Epidemie
Heise Newsticker: Einmal BadTrans-Mail löschen -- macht 50 Euro
Heise Newsticker: Mail-Wurm BadTrans: Bös gemeint, aber schlecht gemacht
Heise Newsticker: Überprüfung auf ausspionierte Passwörter Tool DecBad
Viruslist.com: I-Worm.BadtransII
WebStandard: Comeback des Bad Trans Wurms
WebStandard: Kostenloses Tool gegen Virus
Kaspersky Labs: I-Worm.BadtransII
Symantec: W32.Badtrans.B@mm
Symantec: Tool zum Entfernen (engl.)
McAfee: 32/Badtrans@MM Removal Instructions
Spiegel Online: Duckt euch, Microsoft-Nutzer!
Trend Micro: WORM_BADTRANS.B
ORF/FutureZone: FBI profitiert vom Spionage-Virus
Informationen über Computer-Viren dahier:
Live-Ticker I von Trend Micro
Live-Ticker II von Sophos
Live-Ticker III von Moreover
Selbsthilfe-Maßnahmen für Anfänger und Fortgeschrittene
Mail-Sniffer
Liste vieler Antiviren-Scanner mit User-Votum
Wurm-Virus SirCam mit Umfrage
Wurm-Virus Nimda
Nimda: Sorglose Breitband-User werden abgeklemmt
Wurm-Virus CodeRed mit Umfrage
Der 11. September und die Folgen – Die Computer-Viren Vote, Anthrax, Bin Laden
Aus deutschen Landen? Frisches Ungeziefer: ANTS
Antiviren-Scanner Übersicht
Links zu Infos über Computer-Viren
Die tragischen Ereignisse
am 11. September 2001 und die Folgen
elektronischen Privatsphäre im Breitband-Internet
Copyright-Info
Diese Seite wurde zuletzt am Freitag, dem 30. November MMI, aktualisiert
URL der Website Sicherheit im Kabelnetzwerk : http://www.pages.at/heaven/
URL dieser Seite: http://www.pages.at/heaven/sec095.htm
eMail an die Redaktion: ms
: User online | Heute, am : Seitenaufrufe, Besucher | Details