Der Mail-Wurm "Nimda" (Admin rückwärts gelesen), der sich im Internet über Microsofts Internet Information Server, Outlook und den Internet Explorer verbreitet und PCs und PC-Server lahmlegt, ist nach Ansicht von Experten ausgesprochen gefährlich. Zwar gibt es noch kein Mittel gegen ihn, doch er kann weitgehend vermieden werden: Bei Web-Servern, indem man JavaScript und "Active Scripting" deaktiviert. Bei E-Mails, indem man bereits auf den Mail-Gateways die übertragung von Dateien mit EXE-Dateien als Attachments blockiert. Microsoft hält einen Patch bereit. Da der Wurm auch über über Windows-Datei-Freigaben ausgeführt wird, die bereits beim Aufruf einer Datei ausgeführt werden, bedeutet das aktuell: sich konsequent keine Audio- beziehungsweise Wave-Dateien anzusehen. Die Computerwoche schreibt dazu: "Fest steht bereits, dass sich die Server-Komponente des Schädlings unter anderem über die bereits seit "Code Blue" bekannte "Unicode-Directory-Traversal"-Sicherheitslücke im Internet Information Server (IIS) weiter verbreitet. Nach Aussagen des Sicherheitsexperten Roger Thompson von Trusecure scannt der Wurm attackierte Systeme auf praktisch alle bekannten Sicherheitslücken und nutzt diese falls vorhanden gnadenlos aus. Als Transportmittel verwendet er offenbar E-Mail, HTTP (das Hypertext Transfer Protocol) und in einem Netz gemeinsam genutzte Datenträger. Sogar IIS-Webseiten kann er mit entsprechendem Javascript-Code manipulieren, so dass bloßes Vorbeisurfen mit dem Internet Explorer bereits für eine Infektion ausreicht. Selbst IRC- und FTP-Komponenten wollen Experten bereits entdeckt haben. "Sieht aus, als hätte man hier ein Schweizer Offiziermesser programmiert", konstatiert Thompson. "Nimda ist ganz sicher schneller, agressiver und böser als Code Red." Die schädliche Datei "Readme.exe" oder auch "Readme.eml" enthält einen veränderten Header, der dem System vorgaukelt, es handele sich um eine Audiodatei. Sie kann bereits bei bloßer Betrachtung im "Outlook"-Vorschaufenster aktiv werden, ohne dass die Mail geöffnet wird. Mittels MAPI- und MIME-Manipulationen ist der Wurm offenbar auch in der Lage, Microsofts Mail-Client automatisch mit mittlerer Sicherheitsstufe auszuführen. Das Computer Emergency Response Team (Cert) an der amerikanischen Carnegie Mellon University (das außerdem heute massiv ansteigende Scanning-Aktivitäten auf dem HTTP-Port 80 meldet, die mit dem Wurm in Verbindung stehen könnten) empfiehlt allen Anwendern, unbedingt ihre IIS-Server und Mail-Clients vorbeugend mit den aktuellen Sicherheits-Patches zu versehen." Sicherheitsfirmen offerieren Patches. Diese werden erst nach einem Update wirksam.Hier einige Web-Seiten: Sophos; NAI; F-Secure; Kaspersky. Weitere Patches sollen folgen.(wl)
19.09.2001
Der Mail-Wurm "Nimda" (Admin rückwärts gelesen), der sich im Internet über Microsofts Internet Information Server, Outlook und den Internet Explorer verbreitet und PCs und PC-Server lahmlegt, ist nach Ansicht von Experten ausgesprochen gefährlich. Zwar gibt es noch kein Mittel gegen ihn, doch er kann weitgehend vermieden werden: Bei Web-Servern, indem man JavaScript und "Active Scripting" deaktiviert. Bei E-Mails, indem man bereits auf den Mail-Gateways die übertragung von Dateien mit EXE-Dateien als Attachments blockiert. Microsoft hält einen Patch bereit. Da der Wurm auch über über Windows-Datei-Freigaben ausgeführt wird, die bereits beim Aufruf einer Datei ausgeführt werden, bedeutet das aktuell: sich konsequent keine Audio- beziehungsweise Wave-Dateien anzusehen. Die Computerwoche schreibt dazu: "Fest steht bereits, dass sich die Server-Komponente des Schädlings unter anderem über die bereits seit "Code Blue" bekannte "Unicode-Directory-Traversal"-Sicherheitslücke im Internet Information Server (IIS) weiter verbreitet. Nach Aussagen des Sicherheitsexperten Roger Thompson von Trusecure scannt der Wurm attackierte Systeme auf praktisch alle bekannten Sicherheitslücken und nutzt diese falls vorhanden gnadenlos aus. Als Transportmittel verwendet er offenbar E-Mail, HTTP (das Hypertext Transfer Protocol) und in einem Netz gemeinsam genutzte Datenträger. Sogar IIS-Webseiten kann er mit entsprechendem Javascript-Code manipulieren, so dass bloßes Vorbeisurfen mit dem Internet Explorer bereits für eine Infektion ausreicht. Selbst IRC- und FTP-Komponenten wollen Experten bereits entdeckt haben. "Sieht aus, als hätte man hier ein Schweizer Offiziermesser programmiert", konstatiert Thompson. "Nimda ist ganz sicher schneller, agressiver und böser als Code Red." Die schädliche Datei "Readme.exe" oder auch "Readme.eml" enthält einen veränderten Header, der dem System vorgaukelt, es handele sich um eine Audiodatei. Sie kann bereits bei bloßer Betrachtung im "Outlook"-Vorschaufenster aktiv werden, ohne dass die Mail geöffnet wird. Mittels MAPI- und MIME-Manipulationen ist der Wurm offenbar auch in der Lage, Microsofts Mail-Client automatisch mit mittlerer Sicherheitsstufe auszuführen. Das Computer Emergency Response Team (Cert) an der amerikanischen Carnegie Mellon University (das außerdem heute massiv ansteigende Scanning-Aktivitäten auf dem HTTP-Port 80 meldet, die mit dem Wurm in Verbindung stehen könnten) empfiehlt allen Anwendern, unbedingt ihre IIS-Server und Mail-Clients vorbeugend mit den aktuellen Sicherheits-Patches zu versehen." Sicherheitsfirmen offerieren Patches. Diese werden erst nach einem Update wirksam.Hier einige Web-Seiten: Sophos; NAI; F-Secure; Kaspersky. Weitere Patches sollen folgen.(wl)