18.09.2001

IIS & OUTLOOK

Bildquelle:

Wurm "Nimda" ist schon in Europa

Eine neuer Wurm breitet sich offenbar mit hoher Geschwindigkeit sowohl serverseits wie durch Mails aus.

W32/Nimda.A ist zwar zur erweiterten Famile "Code Red" zu zählen, ist aber in der Raffiniertheit seiner Fortpflanzung allen bisher bekannten Würmer weit überlegen.

Nimda kann als Mail-Attachment namens README.EXE zwar relativ leicht identifiziert werden, doch ist er einmal aktiviert, beginnt er sofort, alle Internet Information Server von Microsoft in der Nähe zu attackieren und pflanzt sich auf diesem Weg weiter fort.

Achtung Update
Aktuellere Informationen in der Story

"Nimda" wütet auch in Österreich

Alle Lücken
Dazu sucht er am IIS nicht wie "Code Red" nach einer, sondern probiert so gut wie alle in der letzten Zeit bekannt gewordenen Sicherheitslücken durch. Das Resultat ist ein durch massive Scans auf Port 80 enorm gesteigerter Verkehr, der laut Dshield.org bereits die Netzwerke einiger US-Firmen in die Knie gezwungen hat.

McAfee: Hohes Risiko

Enorm hohe Network-Scans

Wie mehrere Webadmins aus Österreich und Deutschland berichten, erreichten die Scans im Lauf des Abends ein Niveau, das jenes von "Code Red" bekannte um ein Vielfaches übersteigt.

Wie uns die Spatzen von den Netzknoten gepfiffen haben, sollen mehrere mittelständische Firmen offline sein.

Als zusätzliche Verbreitungsmöglichkeit gibt "Nimda" nicht nur die Festplatte des befallenen Rechners frei, er versucht perfiderweise von befallenen Webservern auf Rechner von Usern zurückzukehren.

"Nimda" bietet sich auf Webservern dem Browsenden als Outlook-Message an, die als Attachment - nicht ganz überraschend - wiederum Nimda.exe enthält.

Von der Charakteristik der Verbreitung her ist "Nimda" wie die "Code Red"-Familie darauf angelegt, in Subnetzwerken mit vielen unzureichend "gepflegten" IIS den weitaus größten Schaden anzurichten.

Symantec über "Nimda"

Chello extrem gefährdet

Diese Charakteristik trifft auf Firmennetze, vor allem aber auf Netzwerke von Kabelmodem-Usern zu.

Chello, wo schon "Code Red II" Verbreitungsexzesse gefeiert hat, ist wiederum stark gefährdet [siehe Links unten].

Allerdings, so Chello zur FutureZone, ist man diesmal gut vorbereitet. Nach dem Befall von "Code Red" wurden den Kunden entsprechende Patches zur Verfügung gestellt, die von den Kunden auch meist eingespielt wurden. Darüber hinaus werden Mails mit einem "readme.exe"-Anhang blockiert.

Weiters sollen die Chello-Router tftp [trivial file transfer protocol] unterbinden, das eine der Verbreitungsmöglichkeiten von Nimda darstellt. Laut Chello sollen österreichweit erst acht Fälle bekannt sein, in denen der Wurm innerhalb des Netzwerkes zugeschlagen hat.

Was Microsoft empfiehlt