C
Captain Chris
Guest
Nimda-Wurm
--------------------------------------------------------------------------------
Das DFN-CERT meldet das Auftreten eines neuen Wurms: Nimda. Man empfängt und verbreitet ihn nicht nur in "gewohnter Weise" per Mail (Infizierung durch Lesen/Ausführen von Mail-Attachments/Anhängen und Weiterverbreitung über die Adressbücher), sondern erstmalig kann der PC auch durch das Browsen/Lesen von WWW-Seiten infiziert werden: Der Wurm befällt Web-Server, die unter Microsofts Internet Information Server laufen und baut in deren Web-Seiten Java-Skript-Code ein, der eine Datei namens "readme.eml" nachlädt. Er nutzt dazu diverse Sicherheitslücken des IIS aus. Auf diesem Weg kann unter Umständen schon der Besuch von Webseiten eines infizierten WWW-Servers zur Infizierung des Rechners des Besuchers führen. Darüberhinaus ist eine "Infektion" mit einem beliebigen PC-Mail-Programm bzw. beliebigem PC-Browser möglich.
Der aktuelle Stand der Erkenntnisse zum "Nimda Wurm" ist im DFN-CERT Sicherheitsbulletin 2001-01 zusammengefasst.
Inzwischen hat Microsoft eine eigene WWW-Seite mit Informationen über den Nimda-Wurm zusammengestellt. Sie finden sie unter http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/topics /nimda.asp
Verbreitungswege:
von (infiziertem) Client zu Client per E-Mail (über beliebige PC-Mail-Programme)
von (infiziertem) Client zu Client über für andere PCs freigegebene Verzeichnisse (z.B. in lokalen Netzen)
von (infiziertem) Client zu (Microsoft IIS) Webserver
von (infiziertem) Webserver zu Client durch Browsen kompromitierter Webseiten (nur über den Internet Explorer)
Letzter Stand zur Infektion via Browsen im Web (von heise.de):
Von einem unbemerkten Befall per Web-Browser sind nach letzten Erkenntnissen ausschließlich Surfer bedroht, die den Internet Explorer 5.x unter Windows benutzen. Frühere Versionen kommen mit dem verwendeten JavaScript-Code nicht klar und erzeugen beim Besuch einer infizierten WWW-Seite eine Fehlermeldung. Von Microsoft gibt es das Service Pack 2 für den Internet Explorer 5.0 beziehungsweise für den Internet Explorer 5.5, das zumindest einen unbemerkten Befall verhindert. (Die Adressen sind weiter unten angeführt.) Nach der Installation fragt der Browser beim Besuch einer kompromittierten Webseite wenigstens um Erlaubnis, bevor er den Virus ausführt. So verhält sich auch der Internet Explorer 6.0. Weitere Hinweise, auch für Administratoren von Web-Servern, gibt es seit kurzem auch im Microsoft TechNet.
Selbst nach der Installation eines "sicheren" Browsers (Netscape, Opera) empfiehlt es sich, besonders aufmerksam auf dessen Nachfragen zu reagieren: Wenn er eine Bestätigung für das Herunterladen, Öffnen oder Installieren einer Datei einholt, die man eigentlich auf der aktuellen Seite nicht erwartet hätte, sollte man im Zweifel ablehnen. Ob die aktuellen Sicherheitseinstellungen in Ihrem Browser gegen einen Nimda-Befall ausreichend sind, können Sie mit dem c't-Browser-Check überprüfen. Wir haben eine Testseite eingerichtet, die mit denselben Tricks wie Nimda arbeitet, aber dabei nur ein harmloses Programm startet, ohne Ihren Rechner zu infizieren.
Dieser erwähnte Check der Browser Sicherheit ist unter der URL
http://www.heise.de/ct/browsercheck/
bzw. zum Checken des E-Mail-Programms unter
http://www.heise.de/ct/antivirus/emailcheck/
zu erreichen.
Effekt durch Infizierung:
Nimda erzeugt einen Guest Account oder aktiviert den vorhandenen Guest Account und fügt ihn der Gruppe der Administratoren hinzu.
Jedermann wird voller Zugriff (Lesen und Schreiben) auf die C: Share gewährt.
Nimda durchsucht alle lokalen Verzeichnisse und infiziert alle .exe und .dll Dateien.
Der Wurm durchsucht alle lokalen Verzeichnisse nach Webseiten und fügt Javascript Code am Anfang der Dateien ein. Jeder, der sich diese Dateien mit einem Browser ansieht, in dem Javascript aktiviert ist, infiziert sich wiederum mit dem Wurm.
Die Registry wird so verändert, daß evtl. ergriffene Sicherheitsmaßnahmen auf Freigabe Ebene außer Kraft gesetzt werden.
Der Wurm verändert die Datei SYSTEM.INI, so daß er bei einem Systemstart automatisch mitgestartet wird.
Der Wurm verändert die Einstellungen des Explorers so, das versteckte (Hidden) Dateien nicht mehr angezeigt werden.
Betroffene Browser laut Microsoft:
(IE = Internet Explorer, SP = Service Pack)
IE 5.01, IE 5.01 SP1, IE 5.5, IE 5.5 SP1
Nicht betroffen sind:
IE 5.01 SP2, IE 5.5 SP2, IE 6
Gegenmaßnahmen:
Endbenutzer:
den Patch für den Internet Explorer einspielen, der die im Security Bulletin MS01-020 beschriebene Schwachstelle beschriebene Schwachstelle beseitigt. Grundsätzlich wird Update auf SP2 (IE 5.01 und IE 5.5) oder Upgrade auf IE 6 empfohlen.
IE 5.01: erforderlich ist mindestens Service Pack 2 und der im Microsoft Security Bulletin MS01-027 beschriebene Patch.
IE 5.5: erforderlich ist mindestens Service Pack 1 und der im Microsoft Security Bulletin MS01-027 beschriebene Patch. Der Patch ist in Service Pack 2 für IE 5.5 bereits enthalten.
die Antivirensoftware auf den neuesten Stand zu bringen.
Sicherheitseinstellungen des Browsers anpassen: dazu gibt es eine Seite bei heise:
http://www.heise.de/ct/browsercheck/anpassen.shtml
keine EMail-Attachments zu öffnen
Java-Script im Webbrowser zu deaktivieren oder
Zugriff auf WWW-Seiten nur noch über den Proxy der Uni Köln. Dieser ist so konfiguriert worden, dass keine .eml-Dateien mehr an den Clienten übertragen werden und somit das unbemerkte Herunterladen des Wurms mit einer Webseite nicht mehr möglich ist.
Systemadministratoren: Es wird empfohlen, sowohl die Schwachstellen im Internet Explorer als auch im Internet Information Server zu schließen.
IE: siehe oben
IIS: alle benötigten Patches sind auf der oben erwähnten Seite bei Microsoft aufgeführt.
Es steht fest, daß bereits Rechner im UKLAN infiziert sind. Es wird deshalb allen Benutzern und Administratoren empfohlen, Ihre Systeme auf einen Befall zu untersuchen und die notwendigen Schutzmaßnahmen zu ergreifen.
Removal-Tools:
Symantec stellt inzwischen ein Tool zur Verfügung, daß die Infektion durch den Wurm entfernen soll. Ein vergleichbares Programm bietet McAffee an.
Wichtig: Die Anwendung dieser Programme ist keine Garantie für ein sauberes System!
Diese Programme reparieren so weit wie möglich infizierte Dateien und die von Nimda veränderten Registry Einträge. Außerdem werden Laufwerks-und Verzeichnisfreigaben auf die Standardeinstellungen zurückgesetzt. Der Gast Account wird deaktiviert.
Beide Hersteller weisen darauf hin, daß Programme wie Word nach Entfernung des Virus nicht mehr funktionieren und geben Hinweise auf mögliche Problemlösungen. Unter Umständen ist eine Neuinstallation betroffener Programme erforderlich.
Symantec weißt außerdem darauf hin, daß, über diese Aktionen hinaus, Veränderungen an den Sicherheitseinstellungen befallener Systeme nicht rückgängig gemacht werden können. Es ist daher wahrscheinlich, daß Hintertüren in befallenen Systemen, die sich Dritte durch den Befall erschlichen haben können, weiterhin bestehen. Symantec empfiehlt, die betroffenen Systeme neu zu installieren.
Nutzen Sie die oben genannten Tools nur, um den Befall wichtiger Daten zu beseitigen und installieren Sie betroffene Systeme unter Berücksichtigung der Security Updates von Microsoft neu.
Quelle: Zentrum für Angewandte Informatik (ZAIK) / Universitätsweiter Service (RRZK)
Stand: 25.09.2001
--------------------------------------------------------------------------------
Das DFN-CERT meldet das Auftreten eines neuen Wurms: Nimda. Man empfängt und verbreitet ihn nicht nur in "gewohnter Weise" per Mail (Infizierung durch Lesen/Ausführen von Mail-Attachments/Anhängen und Weiterverbreitung über die Adressbücher), sondern erstmalig kann der PC auch durch das Browsen/Lesen von WWW-Seiten infiziert werden: Der Wurm befällt Web-Server, die unter Microsofts Internet Information Server laufen und baut in deren Web-Seiten Java-Skript-Code ein, der eine Datei namens "readme.eml" nachlädt. Er nutzt dazu diverse Sicherheitslücken des IIS aus. Auf diesem Weg kann unter Umständen schon der Besuch von Webseiten eines infizierten WWW-Servers zur Infizierung des Rechners des Besuchers führen. Darüberhinaus ist eine "Infektion" mit einem beliebigen PC-Mail-Programm bzw. beliebigem PC-Browser möglich.
Der aktuelle Stand der Erkenntnisse zum "Nimda Wurm" ist im DFN-CERT Sicherheitsbulletin 2001-01 zusammengefasst.
Inzwischen hat Microsoft eine eigene WWW-Seite mit Informationen über den Nimda-Wurm zusammengestellt. Sie finden sie unter http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/topics /nimda.asp
Verbreitungswege:
von (infiziertem) Client zu Client per E-Mail (über beliebige PC-Mail-Programme)
von (infiziertem) Client zu Client über für andere PCs freigegebene Verzeichnisse (z.B. in lokalen Netzen)
von (infiziertem) Client zu (Microsoft IIS) Webserver
von (infiziertem) Webserver zu Client durch Browsen kompromitierter Webseiten (nur über den Internet Explorer)
Letzter Stand zur Infektion via Browsen im Web (von heise.de):
Von einem unbemerkten Befall per Web-Browser sind nach letzten Erkenntnissen ausschließlich Surfer bedroht, die den Internet Explorer 5.x unter Windows benutzen. Frühere Versionen kommen mit dem verwendeten JavaScript-Code nicht klar und erzeugen beim Besuch einer infizierten WWW-Seite eine Fehlermeldung. Von Microsoft gibt es das Service Pack 2 für den Internet Explorer 5.0 beziehungsweise für den Internet Explorer 5.5, das zumindest einen unbemerkten Befall verhindert. (Die Adressen sind weiter unten angeführt.) Nach der Installation fragt der Browser beim Besuch einer kompromittierten Webseite wenigstens um Erlaubnis, bevor er den Virus ausführt. So verhält sich auch der Internet Explorer 6.0. Weitere Hinweise, auch für Administratoren von Web-Servern, gibt es seit kurzem auch im Microsoft TechNet.
Selbst nach der Installation eines "sicheren" Browsers (Netscape, Opera) empfiehlt es sich, besonders aufmerksam auf dessen Nachfragen zu reagieren: Wenn er eine Bestätigung für das Herunterladen, Öffnen oder Installieren einer Datei einholt, die man eigentlich auf der aktuellen Seite nicht erwartet hätte, sollte man im Zweifel ablehnen. Ob die aktuellen Sicherheitseinstellungen in Ihrem Browser gegen einen Nimda-Befall ausreichend sind, können Sie mit dem c't-Browser-Check überprüfen. Wir haben eine Testseite eingerichtet, die mit denselben Tricks wie Nimda arbeitet, aber dabei nur ein harmloses Programm startet, ohne Ihren Rechner zu infizieren.
Dieser erwähnte Check der Browser Sicherheit ist unter der URL
http://www.heise.de/ct/browsercheck/
bzw. zum Checken des E-Mail-Programms unter
http://www.heise.de/ct/antivirus/emailcheck/
zu erreichen.
Effekt durch Infizierung:
Nimda erzeugt einen Guest Account oder aktiviert den vorhandenen Guest Account und fügt ihn der Gruppe der Administratoren hinzu.
Jedermann wird voller Zugriff (Lesen und Schreiben) auf die C: Share gewährt.
Nimda durchsucht alle lokalen Verzeichnisse und infiziert alle .exe und .dll Dateien.
Der Wurm durchsucht alle lokalen Verzeichnisse nach Webseiten und fügt Javascript Code am Anfang der Dateien ein. Jeder, der sich diese Dateien mit einem Browser ansieht, in dem Javascript aktiviert ist, infiziert sich wiederum mit dem Wurm.
Die Registry wird so verändert, daß evtl. ergriffene Sicherheitsmaßnahmen auf Freigabe Ebene außer Kraft gesetzt werden.
Der Wurm verändert die Datei SYSTEM.INI, so daß er bei einem Systemstart automatisch mitgestartet wird.
Der Wurm verändert die Einstellungen des Explorers so, das versteckte (Hidden) Dateien nicht mehr angezeigt werden.
Betroffene Browser laut Microsoft:
(IE = Internet Explorer, SP = Service Pack)
IE 5.01, IE 5.01 SP1, IE 5.5, IE 5.5 SP1
Nicht betroffen sind:
IE 5.01 SP2, IE 5.5 SP2, IE 6
Gegenmaßnahmen:
Endbenutzer:
den Patch für den Internet Explorer einspielen, der die im Security Bulletin MS01-020 beschriebene Schwachstelle beschriebene Schwachstelle beseitigt. Grundsätzlich wird Update auf SP2 (IE 5.01 und IE 5.5) oder Upgrade auf IE 6 empfohlen.
IE 5.01: erforderlich ist mindestens Service Pack 2 und der im Microsoft Security Bulletin MS01-027 beschriebene Patch.
IE 5.5: erforderlich ist mindestens Service Pack 1 und der im Microsoft Security Bulletin MS01-027 beschriebene Patch. Der Patch ist in Service Pack 2 für IE 5.5 bereits enthalten.
die Antivirensoftware auf den neuesten Stand zu bringen.
Sicherheitseinstellungen des Browsers anpassen: dazu gibt es eine Seite bei heise:
http://www.heise.de/ct/browsercheck/anpassen.shtml
keine EMail-Attachments zu öffnen
Java-Script im Webbrowser zu deaktivieren oder
Zugriff auf WWW-Seiten nur noch über den Proxy der Uni Köln. Dieser ist so konfiguriert worden, dass keine .eml-Dateien mehr an den Clienten übertragen werden und somit das unbemerkte Herunterladen des Wurms mit einer Webseite nicht mehr möglich ist.
Systemadministratoren: Es wird empfohlen, sowohl die Schwachstellen im Internet Explorer als auch im Internet Information Server zu schließen.
IE: siehe oben
IIS: alle benötigten Patches sind auf der oben erwähnten Seite bei Microsoft aufgeführt.
Es steht fest, daß bereits Rechner im UKLAN infiziert sind. Es wird deshalb allen Benutzern und Administratoren empfohlen, Ihre Systeme auf einen Befall zu untersuchen und die notwendigen Schutzmaßnahmen zu ergreifen.
Removal-Tools:
Symantec stellt inzwischen ein Tool zur Verfügung, daß die Infektion durch den Wurm entfernen soll. Ein vergleichbares Programm bietet McAffee an.
Wichtig: Die Anwendung dieser Programme ist keine Garantie für ein sauberes System!
Diese Programme reparieren so weit wie möglich infizierte Dateien und die von Nimda veränderten Registry Einträge. Außerdem werden Laufwerks-und Verzeichnisfreigaben auf die Standardeinstellungen zurückgesetzt. Der Gast Account wird deaktiviert.
Beide Hersteller weisen darauf hin, daß Programme wie Word nach Entfernung des Virus nicht mehr funktionieren und geben Hinweise auf mögliche Problemlösungen. Unter Umständen ist eine Neuinstallation betroffener Programme erforderlich.
Symantec weißt außerdem darauf hin, daß, über diese Aktionen hinaus, Veränderungen an den Sicherheitseinstellungen befallener Systeme nicht rückgängig gemacht werden können. Es ist daher wahrscheinlich, daß Hintertüren in befallenen Systemen, die sich Dritte durch den Befall erschlichen haben können, weiterhin bestehen. Symantec empfiehlt, die betroffenen Systeme neu zu installieren.
Nutzen Sie die oben genannten Tools nur, um den Befall wichtiger Daten zu beseitigen und installieren Sie betroffene Systeme unter Berücksichtigung der Security Updates von Microsoft neu.
Quelle: Zentrum für Angewandte Informatik (ZAIK) / Universitätsweiter Service (RRZK)
Stand: 25.09.2001
