Menü

Squid-Proxy filtert Nimda-Wurm

vorlesen Drucken Kommentare lesen 261 Beiträge

Der Nimda-Wurm installiert auf befallenen Web-Servern eine Datei namens "readme.eml" und baut JavaScript-Code in die Webseiten ein, die diese Datei nachladen. Besucht ein Surfer den befallenen Web-Server, lädt sein Browser diese Datei und führt sie bei manchen Versionen des Internet Explorer sogar ungefragt aus.

In Firmennetzen kann ein Proxy-Server dafür sorgen, dass die gefährliche Datei nicht auf den Rechner der Surfer gelangt. Die folgenden Einträge in der Konfigurationsdatei "squid.conf" des Web-Proxies Squid bewirken, dass dieser Dateien mit der Endung ".eml" blockiert:

# .eml-Dateien ausfiltern

acl worm urlpath_regex -i \.eml$

http_access deny worm

Gegen Infektion durch E-Mail schützt dies natürlich nicht. (ju)