Kaspersky Lab, eine internationale Software-Schmiede im Bereich Datensicherheit, warnt vor dem gefährlichen Netzwerkwurm 'Nimda', der eine neue Epidemie ausgelöst hat. Bereits in der Nacht auf den 19. September gingen bei Kaspersky Lab mehr als 500 Meldungen über Infektionen aus der ganzen Welt ein.

'Nimda' (das Wort 'Admin' rückwärts geschrieben) ist eine ernste Gefahr für Unternehmen und auch Privatanwender. Der Wurm ermöglicht jedem vollen Zugriff auf alle Laufwerke, die im infizierten Computer vorhanden sind. Das heißt, dass jeder der möchte, alle Dateien lesen, verändern, kopieren und löschen kann. Dies kann den Verlust von vertraulichen Informationen sowie deren nicht genehmigte Änderung bedeuten.

'Nimda' infiziert die Computer auf verschiedene Arten:

1. Via eMail

Ein Computer erhält eine infizierte Mail im HTML-Format, die eine Reihe von eingefügten Objekte beinhaltet. Beim Lesen der Meldung wird eines dieser Objekte (README.EXE-Datei) automatisch gestartet, ohne dass der User dies bemerkt. Der Wurm nutzt dazu eine Sicherheitslücke des Internet Explorers, die im März 2001 entdeckt wurde.

2. Durch Surfen im Internet

Statt der ursprünglichen Seite wird dem Besucher eine manipulierte Variante angezeigt, die ein schädliches Java-Programm enthält. Dieses Programm lädt eine Kopie des 'Nimda' auf den verbundenen Computer herunter und startet diese. Dabei wird ebenfalls die obengenannte Sicherheitslücke im Internet Explorer ausgenützt.

3. Verbreitung im lokalen Netzwerk

Der Wurm scannt alle erreichbaren Netzwerk-Ressourcen und schreibt dorthin Tausende seiner Kopien. Der Viren-Autor rechnet damit, dass der User, der eine unbekannte Datei auf seinem Laufwerk beziehungsweise Server findet, diese öffnet und somit seinen Computer infiziert.

4. Verbreitung über Web-Server

'Nimda' greift aber nicht nur Workstations an, sondern auch Web-Server, die unter Microsoft Internet Information Server (IIS) laufen. Das Infektionsschema für IIS-Server ist mit dem von 'BlueCode' absolut identisch: Zuerst erhält die Malware einen Zugriff auf den Remote-Server, lädt dorthin die Trägerdatei vom vorher infizierten Computer herunter und startet sie. Dabei nutzt er die IIS-Sicherheitslücke 'Web Server Folder Traversal', die im entsprechenden Microsoft-Bericht beschrieben wurde.

"Der Grund einer so heftigen 'Nimda-Epidemie' ist seine ungewöhnliche Infektionsmethode. Statt der 'traditionellen' Attachments, nutzt der Wurm eine Sicherheitslücke. Es ist allgemein bekannt, dass die meisten Benutzer den Rat unberücksichtigt lassen, Patches zu installieren. Dadurch kann 'Nimda' in seinen Auswirkungen sogar 'SirCam' übertreffen," erläutert Eugene Kaspersky, der Leiter der Antiviren-Forschungen bei Kaspersky Lab.

Um sich gegen 'Nimda' zu schützen, sollte man das Datenbank-Update des Kaspersky Anti-Virus herunterladen und installieren. Die entsprechende Aktualisierung wurde am 18. September um 19.30 Moskauer Zeit veröffentlicht. Kaspersky Lab empfiehlt auch, Patches für Internet Explorer und IIS zu installieren, die die Sicherheitslücken in diesen Programmen beseitigen. Dies kann nicht nur 'Nimda'-Angriffen vorbeugen, sondern auch allen gleichartigen Würmern, die in Zukunft auftreten können. "Ohne solche Vorsichtsmaßnahmen raten wir den Usern zeitweilig auf eMail- und Internet-Nutzung zu verzichten", fügt Eugene Kaspersky hinzu.

Eine nähere Beschreibung des Wurms finden Sie im Kaspersky Viren-Lexikon.