> Auszug aus Computer-Channel:
>
> Der neue Internet- Wurm Nimda verbreitet sich mit rasanter
> Geschwindigkeit.
> Europaweit seien bereits mehr als 15.000 Unternehmen betroffen, teilte
> Antivirensoftware-Hersteller Trend Micro mit.
>
> Im Unterschied zum "Code Red"-Virus der vor kurzem für Aufregung sorgte,
> attackiert der "Nimda"-Wurm jedoch auch private Rechner.
>
> Der Schädling nutzt offenbar schon lange bekannte Sicherheitslücken in
> Windows-Systemen und verbreitet sich auf drei Wegen: über das Web, über
> E-Mail und über freigegebene Laufwerke.
>
> So verbreitet sich Nimda:
>
> Verbreitung über das Web:
>
> Für den Internet Information Server (IIS) von Microsoft gibt es seit
> längerer Zeit einen Patch, der das Sicherheitsloch schließt, welches
> "Nimda"
> als Einfallstor benutzt. Allerdings ist dieser Patch längst nicht auf
> allen
> IIS installiert. Wird eine infizierte Webseite besucht, wird ein neues
> Browser-Fenster mittels Javascript geöffnet und der dort in einer
> Maildatei
> enthaltene Virus-Code direkt ausgeführt. Ist Javascript deaktiviert, so
> schlägt die Infektion fehl.
>
> Verbreitung über E-Mail:
>
> "Nimda" durchsucht das E-Mail-Postfach sowie temporäre "htm"- und
> "html"-Dateien nach Mail-Adressen und verschickt sich dann selbst an die
> gefundenen Adressen. Der E-Mail-Anhang "readme.exe" ist in der Regel ein
> MIME-Typ Audio/X-Wav und kann daher den Code mittels Media Player
> automatisch starten.
>
> Achtung: Der Datei-Anhang muss nicht angeklickt werden. Es genügt bereits,
> wenn bei Outlook oder Outlook Express das Vorschaufenster aktiviert ist.
> Heimtückisch: Der Wurm verschickt sich zum Teil mit gefälschten
> Absenderadressen, das heißt, eine Mail kann scheinbar von einer Person
> kommen, die gar nicht infiziert ist und dann fälschlicherweise beschuldigt
> wird.
>
> Verbreitung über freigegebene Laufwerke:
>
> Der Wurm gibt auf befallenen Computern Laufwerke frei und richtet einen
> Gast-Zugang mit Administrator-Rechten ein. Danach wird nach weiteren
> freigegebenen Laufwerken gesucht. Die darauf enthaltenen exe-Dateien
> werden
> durch den Wurm-Code "ergänzt": Sie bleiben weiterhin lauffähig, aber der
> Wurm wird jeweils als erstes gestartet. User, die daraufhin Daten von
> diesem
> Laufwerk starten, infizieren ihren Rechner dadurch ebenfalls mit "Nimda".
>
> So erkennen Sie "W32/Nimda"
>
> Beim ersten Hinsehen erkennt man "W32/Nimda" nicht. Denn er macht sich
> nicht
> durch Bildschirmmeldungen o.ä. bemerkbar. Um sicher zu sein, ob das System
> infiziert ist, bedarf es schon eines Virenscanners oder eines Blicks in
> die
> Tiefen des Systems:
>
> Die Datei readme.exe – dies ist der eigentliche Viruscode –
> ist
> 57344 Byte
> groß. Wenn Sie also eine Datei mit diesem Namen und exakt der gleichen
> Größe
> auf ihrer Festplatte haben, sollten Sie sich um geeignete Abwehrmaßnahmen
> kümmern.
>
> Wenn auf dem Laufwerk C: im Hauptverzeichnis die Datei "admin.dll"
> vorhanden
> ist, ist Ihr System infiziert, da es diese Datei auf gesunden Rechnern
> nicht
> gibt.
>
> Ist das System infiziert, laufen alle Programme – zum Beispiel Word
> – normal
> weiter. "Nimda" infiziert die exe-Dateien, indem er seinen eigenen Code
> buchstäblich anklebt. Bei jedem Start von Word wird der Wurm nun wieder
> aktiv.
>
> Die infizierten Programme können nicht manuell repariert werden. Aktuelle
> Virenscanner erledigen das säubern der Datei völlig automatisch - erkennen
> können ihn mittlerweile alle Scanner.
>
> So schützen Sie sich vor dem Nimda-Virus
>
> Der Internet-Wurm "W32/Nimda" verbreitet sich rasend schnell. Um sich
> wirkungsvoll zu schützen oder den Wurm zu entfernen, sollte man auf jeden
> Fall eine Antivirensoftware mit den neuesten Virensignaturen installieren.
>
> Der erste Schritt: Antivirensoftware installieren/aktualisieren
> Der erste und wichtigste Schritt für jeden Anwender und Administrator
> eines
> Webservers muss darin bestehen, die Antivirensoftware auf den aktuellen
> Stand zu bringen.
>
> Das Tückische am "Nimda"-Wurm ist, dass er von den alten Programmversionen
> nicht erkannt wird, auch wenn sie erst wenige Stunden vor dem Auftauchen
> des
> Wurms aktualisiert wurden. Die Hersteller haben aber schnell reagiert: So
> gut wie alle bieten mittlerweile auf ihren Webseiten Updates an.
> Vorbeugen, damit es erst gar nicht zur Infektion kommt
> Laut Virenexperten sind Würmer wie "Code Red" und "Nimda" erst der Anfang
> einer Kette von höchst gefährlichen Attacken auf den Rechner.
>
> Hauptangriffsziel der Viren sind die Sicherheitslücken im Internet
> Explorer
> sowie dem Internet Information Server. Updates und Patches wurden bereits
> von Microsoft bereitgestellt, viele Anwender scheuen sich aber noch, diese
> auch aufzuspielen, frei nach dem Motto "Never touch a running system". Ein
> fataler Fehler, wie sich an der Zahl der immensen Virenausbreitungen und
> den
> daraus folgenden Schäden zeigt.
>
> Somit ist nur jedem ans Herz zu legen, sowohl den Internet Explorer als
> auch
> IIS auf den neuesten Stand zu bringen.
>
>
> --
> GMX - Die Kommunikationsplattform im Internet.
> www.gmx.net
>
> Der neue Internet- Wurm Nimda verbreitet sich mit rasanter
> Geschwindigkeit.
> Europaweit seien bereits mehr als 15.000 Unternehmen betroffen, teilte
> Antivirensoftware-Hersteller Trend Micro mit.
>
> Im Unterschied zum "Code Red"-Virus der vor kurzem für Aufregung sorgte,
> attackiert der "Nimda"-Wurm jedoch auch private Rechner.
>
> Der Schädling nutzt offenbar schon lange bekannte Sicherheitslücken in
> Windows-Systemen und verbreitet sich auf drei Wegen: über das Web, über
> E-Mail und über freigegebene Laufwerke.
>
> So verbreitet sich Nimda:
>
> Verbreitung über das Web:
>
> Für den Internet Information Server (IIS) von Microsoft gibt es seit
> längerer Zeit einen Patch, der das Sicherheitsloch schließt, welches
> "Nimda"
> als Einfallstor benutzt. Allerdings ist dieser Patch längst nicht auf
> allen
> IIS installiert. Wird eine infizierte Webseite besucht, wird ein neues
> Browser-Fenster mittels Javascript geöffnet und der dort in einer
> Maildatei
> enthaltene Virus-Code direkt ausgeführt. Ist Javascript deaktiviert, so
> schlägt die Infektion fehl.
>
> Verbreitung über E-Mail:
>
> "Nimda" durchsucht das E-Mail-Postfach sowie temporäre "htm"- und
> "html"-Dateien nach Mail-Adressen und verschickt sich dann selbst an die
> gefundenen Adressen. Der E-Mail-Anhang "readme.exe" ist in der Regel ein
> MIME-Typ Audio/X-Wav und kann daher den Code mittels Media Player
> automatisch starten.
>
> Achtung: Der Datei-Anhang muss nicht angeklickt werden. Es genügt bereits,
> wenn bei Outlook oder Outlook Express das Vorschaufenster aktiviert ist.
> Heimtückisch: Der Wurm verschickt sich zum Teil mit gefälschten
> Absenderadressen, das heißt, eine Mail kann scheinbar von einer Person
> kommen, die gar nicht infiziert ist und dann fälschlicherweise beschuldigt
> wird.
>
> Verbreitung über freigegebene Laufwerke:
>
> Der Wurm gibt auf befallenen Computern Laufwerke frei und richtet einen
> Gast-Zugang mit Administrator-Rechten ein. Danach wird nach weiteren
> freigegebenen Laufwerken gesucht. Die darauf enthaltenen exe-Dateien
> werden
> durch den Wurm-Code "ergänzt": Sie bleiben weiterhin lauffähig, aber der
> Wurm wird jeweils als erstes gestartet. User, die daraufhin Daten von
> diesem
> Laufwerk starten, infizieren ihren Rechner dadurch ebenfalls mit "Nimda".
>
> So erkennen Sie "W32/Nimda"
>
> Beim ersten Hinsehen erkennt man "W32/Nimda" nicht. Denn er macht sich
> nicht
> durch Bildschirmmeldungen o.ä. bemerkbar. Um sicher zu sein, ob das System
> infiziert ist, bedarf es schon eines Virenscanners oder eines Blicks in
> die
> Tiefen des Systems:
>
> Die Datei readme.exe – dies ist der eigentliche Viruscode –
> ist
> 57344 Byte
> groß. Wenn Sie also eine Datei mit diesem Namen und exakt der gleichen
> Größe
> auf ihrer Festplatte haben, sollten Sie sich um geeignete Abwehrmaßnahmen
> kümmern.
>
> Wenn auf dem Laufwerk C: im Hauptverzeichnis die Datei "admin.dll"
> vorhanden
> ist, ist Ihr System infiziert, da es diese Datei auf gesunden Rechnern
> nicht
> gibt.
>
> Ist das System infiziert, laufen alle Programme – zum Beispiel Word
> – normal
> weiter. "Nimda" infiziert die exe-Dateien, indem er seinen eigenen Code
> buchstäblich anklebt. Bei jedem Start von Word wird der Wurm nun wieder
> aktiv.
>
> Die infizierten Programme können nicht manuell repariert werden. Aktuelle
> Virenscanner erledigen das säubern der Datei völlig automatisch - erkennen
> können ihn mittlerweile alle Scanner.
>
> So schützen Sie sich vor dem Nimda-Virus
>
> Der Internet-Wurm "W32/Nimda" verbreitet sich rasend schnell. Um sich
> wirkungsvoll zu schützen oder den Wurm zu entfernen, sollte man auf jeden
> Fall eine Antivirensoftware mit den neuesten Virensignaturen installieren.
>
> Der erste Schritt: Antivirensoftware installieren/aktualisieren
> Der erste und wichtigste Schritt für jeden Anwender und Administrator
> eines
> Webservers muss darin bestehen, die Antivirensoftware auf den aktuellen
> Stand zu bringen.
>
> Das Tückische am "Nimda"-Wurm ist, dass er von den alten Programmversionen
> nicht erkannt wird, auch wenn sie erst wenige Stunden vor dem Auftauchen
> des
> Wurms aktualisiert wurden. Die Hersteller haben aber schnell reagiert: So
> gut wie alle bieten mittlerweile auf ihren Webseiten Updates an.
> Vorbeugen, damit es erst gar nicht zur Infektion kommt
> Laut Virenexperten sind Würmer wie "Code Red" und "Nimda" erst der Anfang
> einer Kette von höchst gefährlichen Attacken auf den Rechner.
>
> Hauptangriffsziel der Viren sind die Sicherheitslücken im Internet
> Explorer
> sowie dem Internet Information Server. Updates und Patches wurden bereits
> von Microsoft bereitgestellt, viele Anwender scheuen sich aber noch, diese
> auch aufzuspielen, frei nach dem Motto "Never touch a running system". Ein
> fataler Fehler, wie sich an der Zahl der immensen Virenausbreitungen und
> den
> daraus folgenden Schäden zeigt.
>
> Somit ist nur jedem ans Herz zu legen, sowohl den Internet Explorer als
> auch
> IIS auf den neuesten Stand zu bringen.
>
>
> --
> GMX - Die Kommunikationsplattform im Internet.
> www.gmx.net