Menü

Schutzmaßnahmen gegen den Nimda-Wurm (Update)

Von
vorlesen Drucken Kommentare lesen 628 Beiträge

Der Verdacht, dass man den eigenen PC allein durch das Surfen mit dem Internet Explorer mit dem neuen Virus "Nimda" infizieren kann, hat sich bestätigt. Der Wurm befällt Web-Server, die unter Microsofts Internet Information Server laufen und baut in deren Web-Seiten Java-Skript-Code ein, der eine Datei namens "readme.eml" nachlädt. Er nutzt dazu diverse Sicherheitslücken des IIS aus.

Da sich der Wurm anscheinend noch schneller als Code Red verbreitet, sollte man als Schutzmaßnahme unbedingt JavaScript beziehungsweise "Active Scripting" deaktivieren. Das hat zwar zur Folge, dass manche Web-Seiten nicht mehr funktionieren, aber in Anbetracht des hohen Infektionsrisikos sollte man das in Kauf nehmen. Nähere Informationen,wie das zu geschehen hat, finden Sie auf unseren Browsercheck-Seiten. Netzwerk-Adminstratoren sollten versuchen, auf ihren Proxies die Übertragung von Dateien mit dem Namen "readme.eml" zu unterbinden.

Außerdem verbreitet sich der Wurm per E-Mail. Die Mails enthalten ein Attachment namens "readme.exe", das den MIME-Typ Audio/WAV trägt. Bestimmte Versionen von Outlook Express öffnen dieses Attachement ohne Zutun des Benutzers schon beim Anzeigen der Mail. Dieser Bug lässt sich durch das Einspielen eines Patch von Microsoft beheben. Netzwerk-Adminstratoren sollten, wenn möglich, die Übertragung von EXE-Dateien als Attachment auf ihren Mail-Gateways blockieren.

Ausführlichere Informationen finden Sie in unserem Artikel Keine Angst vor Nimda: So können Sie sich schützen.

Mittlerweile bieten auch die ersten Antiviren-Hersteller Informationen und teilweise auch Updates zu Nimda an. Die meisten Antiviren-Programme können den Schädling erst nach einem Update erkennen und unter Umständen auch entfernen:

Sophos http://www.sophos.com/virusinfo/analyses/w32nimdaa.html

NAI: http://vil.nai.com/vil/virusSummary.asp?virus_k=99209

F-Secure: http://www.f-secure.com/v-descs/nimda.shtml

Symantec: http://www.sarc.com/avcenter/venc/data/w32.nimda.a@mm.html

Frisk (F-Prot): http://www.frisk.is/f-prot/virusinfo/nimda.html

Kaspersky: http://www.kaspersky.com/news.asp

Trend Micro: http://www.trendmicro.de/virinfo/n_enz.php?id=TROJ_NIMDA.A (ju)

Anzeige
Anzeige