Die Kölner Stadtverwaltung kämpft bereits seit Anfang der Woche mit einer Infektion durch den Nimda-Virus. Nach Angaben der Stadt sind rund 7000 PC-Arbeitsplätze und rund 200 Zentralsysteme betroffen. Der Schadensumfang liegt nach ersten Schätzungen bei einem sechsstelligen DM-Betrag.
Ob auch Web-Server der Stadtverwaltung von der Infektion betroffen sind, geht aus den Erklärungen nicht hervor. Sprecher der Stadt waren heute nicht zu erreichen. Sollte sich der Wurm auch auf den Web-Seiten verbreitet haben, kann er zumindest Surfern, die mit dem Internet Explorer unterwegs sind, gefährlich werden (siehe hierzu weiter unten: Schutzmaßnahmen gegen den Nimda-Wurm).
Die Kölner EDV-Experten müssen zur Zeit eine Wochenendschicht einlegen. Nach ihren Angaben konnten "alle bisher eingesetzten Mehrfach-Schutzsysteme das Virus nicht erkennen". Seit einer Woche sind "eine Vielzahl von Mitarbeitern damit beschäftigt, die befallenen Systeme zu säubern, um eine dauerhafte Entfernung des Virus aus dem städtischen Kommunikationsverbund zu erreichen", heißt es in einer gestern verbreiteten Erklärung. Die Stadtverwaltung geht davon aus, "dass dies noch mehrere Tage beanspruchen wird." (wst/c't)
Schutzmaßnahmen gegen den Nimda-Wurm (Update)
Der Verdacht, dass man den eigenen PC allein durch das Surfen mit dem Internet Explorer mit dem neuen Virus "Nimda" infizieren kann, hat sich bestätigt. Der Wurm befällt Web-Server, die unter Microsofts Internet Information Server laufen und baut in deren Web-Seiten Java-Skript-Code ein, der eine Datei namens "readme.eml" nachlädt. Er nutzt dazu diverse Sicherheitslücken des IIS aus.
Da sich der Wurm anscheinend noch schneller als Code Red verbreitet, sollte man als Schutzmaßnahme unbedingt JavaScript beziehungsweise "Active Scripting" deaktivieren. Das hat zwar zur Folge, dass manche Web-Seiten nicht mehr funktionieren, aber in Anbetracht des hohen Infektionsrisikos sollte man das in Kauf nehmen. Nähere Informationen,wie das zu geschehen hat, finden Sie auf unseren Browsercheck-Seiten. Netzwerk-Adminstratoren sollten versuchen, auf ihren Proxies die Übertragung von Dateien mit dem Namen "readme.eml" zu unterbinden.
Außerdem verbreitet sich der Wurm per E-Mail. Die Mails enthalten ein Attachment namens "readme.exe", das den MIME-Typ Audio/WAV trägt. Bestimmte Versionen von Outlook Express öffnen dieses Attachement ohne Zutun des Benutzers schon beim Anzeigen der Mail. Dieser Bug lässt sich durch das Einspielen eines Patch von Microsoft beheben. Netzwerk-Adminstratoren sollten, wenn möglich, die Übertragung von EXE-Dateien als Attachment auf ihren Mail-Gateways blockieren.
Ausführliche Informationen weiter unten: Keine Angst vor Nimda: So können Sie sich schützen.
Mittlerweile bieten auch die ersten Antiviren-Hersteller Informationen und teilweise auch Updates zu Nimda an. Die meisten Antiviren-Programme können den Schädling erst nach einem Update erkennen und unter Umständen auch entfernen:
Sophos www.sophos.com/virusinfo/analyses/w32nimdaa.html
NAI: vil.nai.com/vil/virusSummary.asp?virus_k=99209
F-Secure: www.f-secure.com/v-descs/nimda.shtml
Symantec: www.sarc.com/avcenter/venc/data/w32.nimda.a@mm.html
Frisk (F-Prot): www.frisk.is/f-prot/virusinfo/nimda.html
Kaspersky: www.kaspersky.com/news.asp
Trend Micro: www.trendmicro.de/virinfo/n_enz.php?id=TROJ_NIMDA.A
Keine Angst vor Nimda: So können Sie sich schützen
Nimda kann Rechner beim Surfen befallen, aktiviert sich in einigen E-Mail-Programmen bereits, ohne dass der Benutzer einen Anhang öffnet, und verbreitet sich in LANs ohne jegliches Zutun von Anwendern. Trotzdem gibt es Mittel und Wege, sich vor dem raffinierten Virus zu schützen.
Von einem unbemerkten Befall per Web-Browser sind nach letzten Erkenntnissen ausschließlich Surfer bedroht, die den Internet Explorer 5.x unter Windows benutzen. Frühere Versionen kommen mit dem verwendeten JavaScript-Code nicht klar und erzeugen beim Besuch einer infizierten WWW-Seite eine Fehlermeldung. Von Microsoft gibt es das Service Pack 2 für den Internet Explorer 5.0 beziehungsweise für den Internet Explorer 5.5, das zumindest einen unbemerkten Befall verhindert. Nach der Installation fragt der Browser beim Besuch einer kompromittierten Webseite wenigstens um Erlaubnis, bevor er den Virus ausführt. So verhält sich auch der Internet Explorer 6.0. Weitere Hinweise, auch für Administratoren von Web-Servern, gibt es seit kurzem auch im Microsoft TechNet.
Selbst nach der Installation eines "sicheren" Browsers empfiehlt es sich, besonders aufmerksam auf dessen Nachfragen zu reagieren: Wenn er eine Bestätigung für das Herunterladen, Öffnen oder Installieren einer Datei einholt, die man eigentlich auf der aktuellen Seite nicht erwartet hätte, sollte man im Zweifel ablehnen. Ob die aktuellen Sicherheitseinstellungen in Ihrem Browser gegen einen Nimda-Befall ausreichend sind, können Sie mit dem c't-Browser-Check überprüfen. Wir haben eine Testseite eingerichtet, die mit denselben Tricks wie Nimda arbeitet, aber dabei nur ein harmloses Programm startet, ohne Ihren Rechner zu infizieren.
Beim Lesen von E-Mail kann der PC infiziert werden, wenn das Mail-Programm zum Anzeigen den Internet Explorer verwendet. Zu den Mail-Programmen, die sich so verhalten, gehören neben Microsoft Outlook und Outlook Express auch Programme wie Eudora, Lotus Notes und AK-Mail. Gegen diese Art des Befalls hilft ebenfalls ein Update des Microsoft-Browsers. Wer den schon eingespielt hat oder ein anderes E-Mail-Programm einsetzt, ist allerdings nur vor einem unbemerkten Befall geschützt – gegen eine Infektion durch absichtliches Öffnen eines Nimda-Attachments helfen diese Maßnahmen nicht. Die Sicherheit Ihres E-Mail-Clients können Sie mit dem c't-E-Mail-Check testen.
Die in E-Mails mit Nimda-Attachment angegebene Absenderadresse beweist übrigens nicht, dass der betreffende Rechner von dem Virus befallen ist. Der Schädling ist raffiniert genug, sich auch falscher Absenderadressen zu bedienen.
Bei der Verbreitung über ein lokales Netzwerk nutzt Nimda freigegebene Platten und Ordner. Um diese Gefahr zu minimieren, sollte man überprüfen, ob die eventuell vorhandenen Freigaben wirklich nötig sind, und sie im Zweifel beenden oder die Rechte anderer Benutzer auf das Lesen von Dateien beschränken. Eine Liste der aktuellen Freigaben liefert der Netzwerkmonitor, der bei Windows im Lieferumfang enthalten ist. Windows 9x und ME installieren ihn standardmäßig nicht mit, er lässt sich aber über das Symbol Software aus der Systemsteuerung nachrüsten und erscheint dann unter Start / Programme / Zubehör / Systemprogramme. Unter Windows 2000 und XP findet sich eine entsprechende Liste in der Computerverwaltung unter System / Freigegebene Ordner / Freigaben.
Ob Ihr Rechner bereits von Nimda befallen ist, können Sie am einfachsten überprüfen, indem Sie in Ihrem Windows-Verzeichnis nach einer 57 344 Bytes großen Datei namens load.exe suchen. Wenn diese vorhanden ist, sollten Sie Ihren Rechner zuallererst vom Netz trennen, damit Sie nicht zu der weiteren Verbreitung beitragen. Hinweise zum Entfernen des Virus halten mittlerweile sämtliche Hersteller gängiger Virenschutzprogramme auf ihren Webseiten bereit. Dort finden Sie auch aktualisierte Dateien für Ihr Antivirusprogramm, mit dem Sie den Rechner einer eingehenden Prüfung unterziehen können. Sollten Sie noch kein derartiges Programm im Einsatz haben, empfiehlt sich der Download einer kostenlosen Software wie der AntiVir Personal Edition oder der DOS-Version von F-Prot. Eine Liste mit weiteren Herstellern von Antivirenprogrammen finden Sie auf der Virenschutz-Seite der c't.
Ob auch Web-Server der Stadtverwaltung von der Infektion betroffen sind, geht aus den Erklärungen nicht hervor. Sprecher der Stadt waren heute nicht zu erreichen. Sollte sich der Wurm auch auf den Web-Seiten verbreitet haben, kann er zumindest Surfern, die mit dem Internet Explorer unterwegs sind, gefährlich werden (siehe hierzu weiter unten: Schutzmaßnahmen gegen den Nimda-Wurm).
Die Kölner EDV-Experten müssen zur Zeit eine Wochenendschicht einlegen. Nach ihren Angaben konnten "alle bisher eingesetzten Mehrfach-Schutzsysteme das Virus nicht erkennen". Seit einer Woche sind "eine Vielzahl von Mitarbeitern damit beschäftigt, die befallenen Systeme zu säubern, um eine dauerhafte Entfernung des Virus aus dem städtischen Kommunikationsverbund zu erreichen", heißt es in einer gestern verbreiteten Erklärung. Die Stadtverwaltung geht davon aus, "dass dies noch mehrere Tage beanspruchen wird." (wst/c't)
Schutzmaßnahmen gegen den Nimda-Wurm (Update)
Der Verdacht, dass man den eigenen PC allein durch das Surfen mit dem Internet Explorer mit dem neuen Virus "Nimda" infizieren kann, hat sich bestätigt. Der Wurm befällt Web-Server, die unter Microsofts Internet Information Server laufen und baut in deren Web-Seiten Java-Skript-Code ein, der eine Datei namens "readme.eml" nachlädt. Er nutzt dazu diverse Sicherheitslücken des IIS aus.
Da sich der Wurm anscheinend noch schneller als Code Red verbreitet, sollte man als Schutzmaßnahme unbedingt JavaScript beziehungsweise "Active Scripting" deaktivieren. Das hat zwar zur Folge, dass manche Web-Seiten nicht mehr funktionieren, aber in Anbetracht des hohen Infektionsrisikos sollte man das in Kauf nehmen. Nähere Informationen,wie das zu geschehen hat, finden Sie auf unseren Browsercheck-Seiten. Netzwerk-Adminstratoren sollten versuchen, auf ihren Proxies die Übertragung von Dateien mit dem Namen "readme.eml" zu unterbinden.
Außerdem verbreitet sich der Wurm per E-Mail. Die Mails enthalten ein Attachment namens "readme.exe", das den MIME-Typ Audio/WAV trägt. Bestimmte Versionen von Outlook Express öffnen dieses Attachement ohne Zutun des Benutzers schon beim Anzeigen der Mail. Dieser Bug lässt sich durch das Einspielen eines Patch von Microsoft beheben. Netzwerk-Adminstratoren sollten, wenn möglich, die Übertragung von EXE-Dateien als Attachment auf ihren Mail-Gateways blockieren.
Ausführliche Informationen weiter unten: Keine Angst vor Nimda: So können Sie sich schützen.
Mittlerweile bieten auch die ersten Antiviren-Hersteller Informationen und teilweise auch Updates zu Nimda an. Die meisten Antiviren-Programme können den Schädling erst nach einem Update erkennen und unter Umständen auch entfernen:
Sophos www.sophos.com/virusinfo/analyses/w32nimdaa.html
NAI: vil.nai.com/vil/virusSummary.asp?virus_k=99209
F-Secure: www.f-secure.com/v-descs/nimda.shtml
Symantec: www.sarc.com/avcenter/venc/data/w32.nimda.a@mm.html
Frisk (F-Prot): www.frisk.is/f-prot/virusinfo/nimda.html
Kaspersky: www.kaspersky.com/news.asp
Trend Micro: www.trendmicro.de/virinfo/n_enz.php?id=TROJ_NIMDA.A
Keine Angst vor Nimda: So können Sie sich schützen
Nimda kann Rechner beim Surfen befallen, aktiviert sich in einigen E-Mail-Programmen bereits, ohne dass der Benutzer einen Anhang öffnet, und verbreitet sich in LANs ohne jegliches Zutun von Anwendern. Trotzdem gibt es Mittel und Wege, sich vor dem raffinierten Virus zu schützen.
Von einem unbemerkten Befall per Web-Browser sind nach letzten Erkenntnissen ausschließlich Surfer bedroht, die den Internet Explorer 5.x unter Windows benutzen. Frühere Versionen kommen mit dem verwendeten JavaScript-Code nicht klar und erzeugen beim Besuch einer infizierten WWW-Seite eine Fehlermeldung. Von Microsoft gibt es das Service Pack 2 für den Internet Explorer 5.0 beziehungsweise für den Internet Explorer 5.5, das zumindest einen unbemerkten Befall verhindert. Nach der Installation fragt der Browser beim Besuch einer kompromittierten Webseite wenigstens um Erlaubnis, bevor er den Virus ausführt. So verhält sich auch der Internet Explorer 6.0. Weitere Hinweise, auch für Administratoren von Web-Servern, gibt es seit kurzem auch im Microsoft TechNet.
Selbst nach der Installation eines "sicheren" Browsers empfiehlt es sich, besonders aufmerksam auf dessen Nachfragen zu reagieren: Wenn er eine Bestätigung für das Herunterladen, Öffnen oder Installieren einer Datei einholt, die man eigentlich auf der aktuellen Seite nicht erwartet hätte, sollte man im Zweifel ablehnen. Ob die aktuellen Sicherheitseinstellungen in Ihrem Browser gegen einen Nimda-Befall ausreichend sind, können Sie mit dem c't-Browser-Check überprüfen. Wir haben eine Testseite eingerichtet, die mit denselben Tricks wie Nimda arbeitet, aber dabei nur ein harmloses Programm startet, ohne Ihren Rechner zu infizieren.
Beim Lesen von E-Mail kann der PC infiziert werden, wenn das Mail-Programm zum Anzeigen den Internet Explorer verwendet. Zu den Mail-Programmen, die sich so verhalten, gehören neben Microsoft Outlook und Outlook Express auch Programme wie Eudora, Lotus Notes und AK-Mail. Gegen diese Art des Befalls hilft ebenfalls ein Update des Microsoft-Browsers. Wer den schon eingespielt hat oder ein anderes E-Mail-Programm einsetzt, ist allerdings nur vor einem unbemerkten Befall geschützt – gegen eine Infektion durch absichtliches Öffnen eines Nimda-Attachments helfen diese Maßnahmen nicht. Die Sicherheit Ihres E-Mail-Clients können Sie mit dem c't-E-Mail-Check testen.
Die in E-Mails mit Nimda-Attachment angegebene Absenderadresse beweist übrigens nicht, dass der betreffende Rechner von dem Virus befallen ist. Der Schädling ist raffiniert genug, sich auch falscher Absenderadressen zu bedienen.
Bei der Verbreitung über ein lokales Netzwerk nutzt Nimda freigegebene Platten und Ordner. Um diese Gefahr zu minimieren, sollte man überprüfen, ob die eventuell vorhandenen Freigaben wirklich nötig sind, und sie im Zweifel beenden oder die Rechte anderer Benutzer auf das Lesen von Dateien beschränken. Eine Liste der aktuellen Freigaben liefert der Netzwerkmonitor, der bei Windows im Lieferumfang enthalten ist. Windows 9x und ME installieren ihn standardmäßig nicht mit, er lässt sich aber über das Symbol Software aus der Systemsteuerung nachrüsten und erscheint dann unter Start / Programme / Zubehör / Systemprogramme. Unter Windows 2000 und XP findet sich eine entsprechende Liste in der Computerverwaltung unter System / Freigegebene Ordner / Freigaben.
Ob Ihr Rechner bereits von Nimda befallen ist, können Sie am einfachsten überprüfen, indem Sie in Ihrem Windows-Verzeichnis nach einer 57 344 Bytes großen Datei namens load.exe suchen. Wenn diese vorhanden ist, sollten Sie Ihren Rechner zuallererst vom Netz trennen, damit Sie nicht zu der weiteren Verbreitung beitragen. Hinweise zum Entfernen des Virus halten mittlerweile sämtliche Hersteller gängiger Virenschutzprogramme auf ihren Webseiten bereit. Dort finden Sie auch aktualisierte Dateien für Ihr Antivirusprogramm, mit dem Sie den Rechner einer eingehenden Prüfung unterziehen können. Sollten Sie noch kein derartiges Programm im Einsatz haben, empfiehlt sich der Download einer kostenlosen Software wie der AntiVir Personal Edition oder der DOS-Version von F-Prot. Eine Liste mit weiteren Herstellern von Antivirenprogrammen finden Sie auf der Virenschutz-Seite der c't.
