| Hendrik Naumann on 19 Sep 2001 14:18:54 -0000 |
[Date Prev] [Date Next] [Thread Prev] [Thread Next] [Date Index] [Thread Index]
| Re: [rohrpost] INFO: Neuer Internetwurm "W32/Nimda.A" |
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Es wird immer besser ... aus dem Heise-Ticker Schutzmaßnahmen gegen den Nimda-Wurm (Update) Der Verdacht, dass man den eigenen PC allein durch das Surfen mit dem Internet Explorer mit dem neuen Virus "Nimda"[1] infizieren kann, hat sich bestätigt. Der Wurm befällt Web-Server, die unter Microsofts Internet Information Server laufen und baut in deren Web-Seiten Java-Skript-Code ein, der eine Datei namens "readme.eml" nachlädt. Er nutzt dazu diverse Sicherheitslücken des IIS aus. Da sich der Wurm anscheinend noch schneller als Code Red verbreitet, sollte man als Schutzmaßnahme unbedingt JavaScript beziehungsweise "Active Scripting" deaktivieren. Das hat zwar zur Folge, dass manche Web-Seiten nicht mehr funktionieren, aber in Anbetracht des hohen Infektionsrisikos sollte man das in Kauf nehmen. Nähere Informationen,wie das zu geschehen hat, finden Sie auf unseren Browsercheck-Seiten[2]. Netzwerk-Adminstratoren sollten versuchen, auf ihren Proxies die Übertragung von Dateien mit dem Namen "readme.eml" zu unterbinden[3]. Außerdem verbreitet sich der Wurm per E-Mail. Die Mails enthalten ein Attachment namens "readme.exe", das den MIME-Typ Audio/WAV trägt. Bestimmte Versionen Versionen von Outlook Express öffnen dieses Attachement ohne Zutun des Benutzers schon beim Anzeigen der Mail. Dieser Bug lässt sich durch das Einspielen eines Patch von Microsoft[4] beheben. Netzwerk-Adminstratoren sollten, wenn möglich, die Übertragung von EXE-Dateien als Attachment auf ihren Mail-Gateways blockieren. Und schließlich breitet sich Nimda auch über Windows-Datei-Freigaben aus. Wie das geschieht und wie man es unterbinden kann, ist derzeit noch unklar. Mittlerweile bieten auch die ersten Antiviren-Hersteller Informationen und teilweise auch Updates zu Nimda an. Die meisten Antiviren-Programme können den Schädling erst nach einem Update erkennen und unter Umständen auch entfernen. Sophos http://www.sophos.com/virusinfo/analyses/w32nimdaa.html[5] NAI: http://vil.nai.com/vil/virusSummary.asp?virus_k=99209[6] F-Secure: http://www.f-secure.com/v-descs/nimda.shtml[7] Symantec: http://www.sarc.com/avcenter/venc/data/w32.nimda.a@mm.html[8] Frisk (F-Prot): http://www.frisk.is/f-prot/virusinfo/nimda.html[9] Kaspersky: http://www.kaspersky.com/news.asp[10] (ju[11]/c't) URL dieses Artikels: http://www.heise.de/newsticker/data/ju-18.09.01-000/ Links in diesem Artikel: [1] http://www.heise.de/newsticker/data/pab-18.09.01-000/ [2] http://www.heise.de/ct/browsercheck/ [3] http://www.heise.de/newsticker/data/ju-18.09.01-001/ [4] http://www.microsoft.com/windows/ie/downloads/critical/patch9/defaul t.asp [5] http://www.sophos.com/virusinfo/analyses/w32nimdaa.html [6] http://vil.nai.com/vil/virusSummary.asp?virus_k=99209 [7] http://www.f-secure.com/v-descs/nimda.shtml [8] http://www.sarc.com/avcenter/venc/data/w32.nimda.a@mm.html [9] http://www.frisk.is/f-prot/virusinfo/nimda.html [10] http://www.kaspersky.com/news.asp [11] mailto:ju@ct.heise.de - -------------------------------------------------------------------- Copyright 2001 by Verlag Heinz Heise - ------------------------------------------------------- - -- PGP ID 21F0AC0265C92061 -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.0.3 (GNU/Linux) Comment: For info see http://www.gnupg.org iD8DBQE7qH7BIfCsAmXJIGERAkqbAJ94vq6Sx8SrkQD3X3Za4QmifxlvtQCeII90 q3F5hd5Wmy/Dmo7RrccW67w= =9dv/ -----END PGP SIGNATURE----- ------------------------------------------------------- rohrpost - deutschsprachige Liste fuer Medien- und Netzkultur Archiv: http://www.nettime.org/rohrpost Info: http://www.mikro.org/rohrpost Ent/Subskribieren: http://post.openoffice.de