Andreas Broeckmann on 19 Sep 2001 07:44:54 -0000


[Date Prev] [Date Next] [Thread Prev] [Thread Next] [Date Index] [Thread Index]

[rohrpost] INFO: Neuer Internetwurm "W32/Nimda.A"


Date: Wed, 19 Sep 2001 07:49:32 +0200 (CEST)
From: Christian Seitz <chris@in-berlin.de>


Liebe Teilnehmerinnen und Teilnehmer,

seit gestern nachmittag kursiert ein neuer Internetwurm "W32/Nimda.A".

Dieser Virus verbreitet sich per E-Mail unter Windows-Systemen (Outlook!)
und tarnt sich als Datei "README.EXE" im Anhang der E-Mail. Der Virus
verbreitet sich per E-Mail an alle E-Mail-Adressen, die im Cache des
Internet Explorers gefunden werden koennen.

Nimda infiziert weiterhin Microsoft Internet Information Server. Er nutzt
die Hintertueren aus, die vom CodeRed-Wurm auf den Internet Information
Servern geschaffen wurden. Damit hat dieser Virus Administratorrechte auf
den Internet Information Servern.

Wenn ihr also einen Internet Information Server unter Windows NT/2000
installiert habt, solltet ihr die Logfiles dieses Servers pruefen und auf
der Updateseite von Microsoft (windowsupdate.microsoft.com) nach aktuellen
Patches fuer den IIS schauen und euer System bei Bedarf updaten.

Wenn der Virus auf eurem Rechner aktiv ist, existiert im Task Manager ein
Task mit dem Namen "ME******.tmp". Diesen Task solltet ihr sofort beenden.
Es wird auf dem infizierten System (Windows NT und Windows 2000) ausserdem
ein "guest"-Account mit Administratorrechten angelegt. Das koennt ihr aber
auch leicht im Benutzermanager pruefen.

Wir wissen noch nicht ob es wie bei CodeRed wieder Probleme mit den
Aussenanbindungen geben wird. Da wir die Anbindungen jetzt auf 2 Ciscos
und einen zentralen Router "octalus" verteilt habe, gehe ich aber nicht
davon aus.

Einige von euch nutzen Callback ueber BerliKomm bzw. MobilCom. Beachtet
bitte dass auch ein Infizierungsversuch eines Nimda-Wurms die Verbindung
zu euch aufbaut und euch evtl. Kosten durch den Aufbau der Verbindung
entstehen koennen (BerliKomm-Teilnehmer!). Bei der Anzahl von
Infizierungsversuchen auf den Servern im Vereinsraum gehe ich davon aus,
dass euer Modem/eure ISDN-Karte die Leitung dauerhaft stehen laesst, da
vor Erreichen des Timeouts meist schon wieder ein Infizierungsversuch
kommt. Achtet auch bei der normalen Einwahl darauf, dass die Verbindung
sauber getrennt wird, wenn ihr sie nicht mehr benoetigt. Automatisches
Auflegen klappt vermutlich nur recht verzoegert!

Die Server im Vereinsraum sind nicht infiziert, da wir keine
Microsoft-Server betreiben, sondern ausschliesslich Linux und FreeBSD
benutzen.

Weitere Infos zu Nimda findet ihr beispielsweise unter:
http://www.f-secure.de/v-descs/nimda.shtml
http://www.symantec.com/avcenter/venc/data/w32.nimda.a@mm.html

Christian Seitz
IN-Berlin e.V.
--
Christian Seitz <chris@in-berlin.de>     http://www.in-berlin.de/

PGP Fingerprint: A9 17 03 0D 36 AB 07 4E  D0 1E C3 8E 3F B0 66 9A


-------------------------------------------------------
rohrpost - deutschsprachige Liste fuer Medien- und Netzkultur
Archiv: http://www.nettime.org/rohrpost Info: http://www.mikro.org/rohrpost
Ent/Subskribieren: http://post.openoffice.de