Es wurden bereits 5 Versionen entdeckt

Seit der Entdeckung des 'Nimda-Wurms' am 18. September 2001, hat Kaspersky Lab schon 5 modifizierte Versionen registriert. Glücklicherweise hat keine von denen eine globale Epidemie hervorgerufen, die der anfänglichen ähnlich wäre. Trotzdem wäre es zu empfehlen, in die unten angegebenen Versionen-Beschreibungen Einsicht zu nehmen und Kaspersky Anti-Virus Datenbanken zu aktualisieren, um mögliche Angriffe effektiv abzuwehren.

Nimda.a

Die ursprüngliche Wurm-Variante selbst, die am 18. September 2001 entdeckt wurde.
Sie dringt in den Computer auf verschiedene Weise ein.

1. Via eMail
Man erhält eine infizierte eMail im HTML-Format, die eine Reihe von eingefügten Objekten beinhaltet. Beim Lesen der Meldung wird eines dieser Objekte (README.EXE-Datei) automatisch gestartet, ohne dass der User dies bemerkt. Der Wurm nutzt dazu eine Sicherheitslücke des Internet Explorers, die im März 2001 entdeckt wurde.

2. Durch Surfen im Internet
Statt der ursprünglichen Web-Seite wird dem Internet-Surfer eine modifizierte Variante gezeigt, die ein schädliches Java-Programm enthält. Dieses Programm lädt eine Kopie des 'Nimda' auf den entfernten Computer herunter und startet diese. Dabei wird ebenfalls die obengenannte Sicherheitslücke im Internet Explorer ausgenützt.

3. Verbreitung im lokalen Netzwerk
Der Wurm scannt alle erreichbaren Netzwerk-Ressourcen und schreibt dorthin Tausende seiner Kopien. Der Viren-Autor rechnet damit, dass der User, der eine unbekannte Datei auf dem Laufwerk seines Computer beziehungsweise Server findet, diese öffnet und damit seinen Computer infiziert.

4. Verbreitung über Web-Server
'Nimda' greift aber nicht nur Workstations an, sondern auch Web-Server, die unter Microsoft Internet Information Server (IIS) laufen. Dabei nutzt er die IIS-Sicherheitslücke 'Web Server Folder Traversal', die im entsprechenden Microsoft-Bericht beschrieben wurde.

Nimda.b

Fast eine genaue Kopie der ersten Wurm-Variante ('Nimda.a'), gepackt mit dem PCShrink-Komprimierungsprogramm, das Win32 ausgeführte Dateien packt. Im Wurm-Code wurden die Dateinamen 'README.EXE' und 'README.EML' durch den 'PUTA!!.SCR' und 'PUTA!!.EML' entsprechend ersetzt.

Nimda.c

Dies ist ebenfalls eine genaue Kopie der ursprünglichen Variante, die mit dem UPX-Komprimierungsprogramm gepackt ist.

Nimda.d

Zum Unterschied von 'Nimda.a' ist im Wurm-Bady dieser Variante die "Copiright"-Zeile durch "HoloCaust Virus.! V.5.2 by Stephan Fernandez.Spain" ersetzt. Der Wurm ist mit dem PECompact-Komprimierungsprogramm gepackt, so dass die Trägerdatei nur 27 Kb groß ist.

Nimda.e

Dieser Virus hat unbedeutende Veränderungen in seinem Code (einige Funktionen sind entweder korrigiert oder optimiert worden). 'In the wild' ist er Ende Oktober entdeckt worden.
Die "sichtbaren" Unterschiede von der ursprünglichen Wurm-Version sind:
Der Name der angehängten Datei ist SAMPLE.EXE (statt README.EXE),
Die Namen von DLL-Bibliotheken sind HTTPODBC.DLL oder COOL.DLL (statt ADMIN.DLL)

Die "Copiright"-Zeile sieht in dieser Variante folgend aus: "Concept Virus(CV) V.6, Copyright(C)2001, (This's CV, No Nimda.)"

Eine nähere Beschreibung von 'Nimda' finden Sie im Kaspersky Viren-Lexikon.

Die Schutzmaßnahmen gegen alle Wurm-Varianten sind bereits der Kaspersky Antiviren-Datenbank hinzugefügt.