18.09.2001

IIS & OUTLOOK

Bildquelle:

Wurm "Nimda" ist schon in Europa

Eine neuer Wurm breitet sich offenbar mit hoher Geschwindigkeit sowohl serverseits wie durch Mails aus.

W32/Nimda.A ist zwar zur erweiterten Famile "Code Red" zu zählen, ist aber in der Raffiniertheit seiner Fortpflanzung allen bisher bekannten Würmer weit überlegen.

Nimda kann als Mail-Attachment namens README.EXE zwar relativ leicht identifiziert werden, doch ist er einmal aktiviert, beginnt er sofort, alle Internet Information Server von Microsoft in der Nähe zu attackieren und pflanzt sich auf diesem Weg weiter fort.

Enorm hohe Network-Scans

Wie mehrere Webadmins aus Österreich und Deutschland berichten, erreichten die Scans im Lauf des Abends ein Niveau, das jenes von "Code Red" bekannte um ein Vielfaches übersteigt.

Wie uns die Spatzen von den Netzknoten gepfiffen haben, sollen mehrere mittelständische Firmen offline sein.

Als zusätzliche Verbreitungsmöglichkeit gibt "Nimda" nicht nur die Festplatte des befallenen Rechners frei, er versucht perfiderweise von befallenen Webservern auf Rechner von Usern zurückzukehren.

"Nimda" bietet sich auf Webservern dem Browsenden als Outlook-Message an, die als Attachment - nicht ganz überraschend - wiederum Nimda.exe enthält.

Chello extrem gefährdet

Diese Charakteristik trifft auf Firmennetze, vor allem aber auf Netzwerke von Kabelmodem-Usern zu.

Chello, wo schon "Code Red II" Verbreitungsexzesse gefeiert hat, ist wiederum stark gefährdet [siehe Links unten].

Allerdings, so Chello zur FutureZone, ist man diesmal gut vorbereitet. Nach dem Befall von "Code Red" wurden den Kunden entsprechende Patches zur Verfügung gestellt, die von den Kunden auch meist eingespielt wurden. Darüber hinaus werden Mails mit einem "readme.exe"-Anhang blockiert.