Wurm "Nimda" ist schon in Europa
Eine neuer Wurm breitet sich offenbar mit hoher Geschwindigkeit sowohl serverseits wie durch Mails aus.
W32/Nimda.A ist zwar zur erweiterten Famile "Code Red" zu zählen, ist aber in der Raffiniertheit seiner Fortpflanzung allen bisher bekannten Würmer weit überlegen.
Nimda kann als Mail-Attachment namens README.EXE zwar relativ leicht identifiziert werden, doch ist er einmal aktiviert, beginnt er sofort, alle Internet Information Server von Microsoft in der Nähe zu attackieren und pflanzt sich auf diesem Weg weiter fort.
Achtung Update
Aktuellere Informationen in der Story
Alle Lücken
Dazu sucht er am IIS nicht wie "Code Red" nach einer, sondern
probiert so gut wie alle in der letzten Zeit bekannt gewordenen
Sicherheitslücken durch. Das Resultat ist ein durch massive Scans
auf Port 80 enorm gesteigerter Verkehr, der laut Dshield.org bereits
die Netzwerke einiger US-Firmen in die Knie gezwungen hat.
Enorm hohe Network-Scans
Wie mehrere Webadmins aus Österreich und Deutschland berichten, erreichten die Scans im Lauf des Abends ein Niveau, das jenes von "Code Red" bekannte um ein Vielfaches übersteigt.
Wie uns die Spatzen von den Netzknoten gepfiffen haben, sollen mehrere mittelständische Firmen offline sein.
Als zusätzliche Verbreitungsmöglichkeit gibt "Nimda" nicht nur die Festplatte des befallenen Rechners frei, er versucht perfiderweise von befallenen Webservern auf Rechner von Usern zurückzukehren.
"Nimda" bietet sich auf Webservern dem Browsenden als Outlook-Message an, die als Attachment - nicht ganz überraschend - wiederum Nimda.exe enthält.
Von der Charakteristik der Verbreitung her ist "Nimda" wie die "Code Red"-Familie darauf angelegt, in Subnetzwerken mit vielen unzureichend "gepflegten" IIS den weitaus größten Schaden anzurichten.
Symantec über "Nimda"Chello extrem gefährdet
Diese Charakteristik trifft auf Firmennetze, vor allem aber auf Netzwerke von Kabelmodem-Usern zu.
Chello, wo schon "Code Red II" Verbreitungsexzesse gefeiert hat, ist wiederum stark gefährdet [siehe Links unten].
Allerdings, so Chello zur FutureZone, ist man diesmal gut vorbereitet. Nach dem Befall von "Code Red" wurden den Kunden entsprechende Patches zur Verfügung gestellt, die von den Kunden auch meist eingespielt wurden. Darüber hinaus werden Mails mit einem "readme.exe"-Anhang blockiert.
Weiters sollen die Chello-Router tftp [trivial file transfer protocol] unterbinden, das eine der Verbreitungsmöglichkeiten von Nimda darstellt. Laut Chello sollen österreichweit erst acht Fälle bekannt sein, in denen der Wurm innerhalb des Netzwerkes zugeschlagen hat.
Was Microsoft empfiehlt