|
|
Viren : Virenkatalog
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
0-9
W32.Nimda.Corrupt
Trotz der angespannten politischen Lage, schrecken Virenschreiber nicht davor zurück, Ihre Werke und damit neue Schädlinge in Umlauf zu bringen. Die jüngste Bedrohung geht dabei vom erstmal in Korea lokalisierten W32.Nimda Wurm aus. Das Virus zeichnet sich dadurch aus, daß es eine ganze Reihe von Vulnerability´s (Angreifbare Lücken im System) aufzeigt und ausnutzt um sich zu Verbreiten.
Enormes Verbreitungpotential
Auf den ersten Blick handelt es sich beim Nimda Virus um einen weiteren Mass-Mailer, also ein Virus, daß sich via eMail verbreitet.
Das Virus durchsucht dazu alle HTM und HTML Dateien in den Temporären Internet Foldern nach eMail Adressen ebenso wie es diese aus der “INBOX” des Mailprogramms auslesen kann. Über einen eigenen SMTP Server verschickt sich das Virus an alle gesammelten Adressen.
Aber nicht genug damit:
Nach genaueren Analysen zeigt sich, daß das Nimda Virus sich nicht nur via eMail sondern auch wie der CodeRED via Sicherheitslücken im IIS (Internet Information Server) verbreiten kann.
Darüberhinaus ist Nimda das erste Virus, das seine Code auch gezielt über WebSites verbreitet. Das Virus ist in der Lage über infizierte PC´s nach “angreifbaren” WebSites zu suchen auf dem es seinen Code plazieren und zum Download bereitstellt.
Das Virus infiziert dafür alle .ASP, .HTM und .HTML Dateien sowie alle Dateien mit den Namen INDEX, MAIN und DEFAULT mit einem eigenen Javascript Code und legt damit seinen gesamten Code auf der infizierten Seite ab. Ein Besuch dieser Seite ohne entsprechende Absicherung des Browsers führt zu einer weiteren Infektion.
ACHTUNG:
Die eMails die vom Virus erzeugt werden nutzen eine Vulnerability (Angreifbare Lücke im System) im MIME (Mailformat) dazu, daß eMail Attachments unter Outlook und Outlook Express automatisch, nur durch daß bloße Lesen ohne Doppelklick auf das Attachment aktiviert werden können.
Die gilt auch für Mails die über den Internet Explorer (Version 5.01 und 5.5 ohne Servicepack 2) abgerufen werden. Es empfiehlt sich jedoch dringlich den angebotenen Patch von Microsoft zu installieren.
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-020.asp
Kein Wunder also, daß das Nimda Virus in kürzester Zeit durch mehrer hundert Infektionen auf sich auf aufmerksam machte. Österreich hat das Virus am späteren Nachmittag des 18. September erreicht. Betroffen sind alle Windows-Anwender mit den Betriebssystemen Win95/Win98/WinME sowie WinNT und Win2000.
Eindeutig zu erkennen ist das Virus NUR durch sein Attachment, das gleich wie bei dem nur seit wenigen Wochen aktiven W32. APOST.A, auf README.EXE lautet.
Der Betreff wird durch das Virus unterschiedlich generiert und besteht im Regelfall aus einer verwirrenden Zahlen-Buchstaben Kombination. Das Mail behinhält dabei keinen Mailtext.
Betreff: “ .. zufälliger text “
Mailtext: “leer”
Attachment: README.EXE
Gleich wie CodeRED kann das Nimda Virus über eine Unicode Attacke auch IIS (Internet Information Server) infizieren und sich verbreiten. Der Wurm scannt dafür nach IP-Adressen auf IIS Servern. Dabei verhält sich das Virus gleich wie der CodeRED.C in dem es versucht das gleiche Backdoorprogramm (Trojaner) zu installieren.
Sollte der Patch der diese Lücke für IIS Server schließt noch nicht eingespielt worden sein, empfiehlt sich diese Maßnahme überaus dringlich.
http://www.microsoft.com/technet/security/bulletin/ms00-078.asp
Nicht genug damit verbreitet sich das Virus auch über freigebene Verzeichnisse oder Platten über das Internet ebenso wie über interne Netze. Es nutzt dazu, wie schon ein anderes Virus (W32.CodeBlue) die sogenannte Microsoft Web Folder Transversal Vulnerability um in infizierten Netzen Laufwerke frei zu geben. Das Virus erzeugt dafür auf jeder infizierten Maschine eigene Verzeichnisse die zusätzlich frei gegeben werden. Auf WinNT und Win2000 PC´s und Servern handelt es sich dabei um Verzeichnisse die keine Passwort Abfragen mehr benötigen. Nach einem Reboot der befallenen Maschinen erhält der User GUEST zudem volle Administratoren Rechte.
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ms00-078.asp
Darüberhinaus kopiert sich das Virus als LOAD.EXE ins Windows System Verzeichnis und erzeugt eine eigene SYSTEM.INI um sicherzustellen, das es beim Reboot des PC´s auch verlässlich wieder gestartet wird.
Shell=explorer.exe load.exe -dontrunold
Sicheres Indiz für das Vorhandensein des Wurms ist zudem die Existenz der von README.EML Dateien in allen Windows Verzeichnissen sowie Kopien des Wurms auf C:\, D:\ und E:\ mit dem Namen ADMIN.DLL.
Seine Schadensfunktion besteht “zum Glück NUR” darin, daß das Virus versucht soviel wie möglich an Traffic zu erzeugen um befallene Netze damit zu überlassten und wenn möglich zum Ausfall zu bringen. Besonders in Mitleidenschaft gezogen werden dabei, wie beim CodeRED, wieder alle Kabelnetze.
VORBEUGENDE MASSNAHMEN - W32.NIMDA
Ähnlich wie beim CodeRed Virus ist das Nimda Virus kaum punktuell zu stoppen, da es in seiner Verbreitung kaum auf User-Interaktion, also die "unwissentliche" Mithilfe des Anwenders angewiessen ist. Das Virus setzt viel mehr auf Prozess-Interaktion, also es baut in seiner Verbreitungsstrategie darauf auf, dass es genügend Systeme findet die die softwarebasierenden Voraussetzungen für eine Erfolgreiche Infektion erfüllen.
WICHTIG:
Aktualisieren Sie Ihr Virenschutzprogramm!
Achten Sie darauf, daß Ihr Scanner, gleich ob es sich dabei um ein PC oder Server (File oder Gateway) basierendes Virenschutzprogramm handelt auch wirklich ALLE Dateien überprüft+! Die meisten Standardeinstellung überprüfen das vom Virus ebenfalls genutzte EML (Outlook Mailformat) Dateiformat NICHT !!
Beachten Sie dabei bitte folgende Vorgehensweise:
Nach der Installation und dem Start der virus utilities tragen Sie im Punkt
Optionen -> Einstellungen -> Erweiterungen
im Fenster Erweiterungen einen * (Stern) ein!
Dieser * (Stern) bewirkt, daß Ihr Virenschutzprogramm JEDEN Dateityp auf Viren überprüft.
Dies führt zwar dazu, daß der ERSTE Suchdurchlauf relativ langsam vor sich geht, stellt aber sicher, daß der Wurm auch in wirklich ALLEN Dateien gefunden wird. Die selbe Vorgehensweise hat auch für andere Virenschutzprogramme seine Gültigkeit.
Das Nimda Virus baut dabei im wesentlichen auf 4 Strategien in der Verbreitung.
1) Via eMail ( zB. Outlook)
2) Via Browser (Internet Explorer 5.2 und 5.5)
3) Via IIS (Internet Information Server)
4) Via Shared Drives (freigegebene Platten)
Entscheidend ist, dem Virus die Grundlage zur Verbreitung zu entziehen. Dafür ist es am sinnvollsten die von Microsoft angebotenen Security Patches zu installieren.
eMail-Basierende GEGENMASSNAHMEN!
eMail Basierene Gegenmaßnahme für MS-OUTLOOK
http://office.microsoft.com/germany/assistance/2000/Out2ksecFAQ.aspx
eMail Basierene Gegenmaßnahme für den Internet Explorer
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-020.asp
Browserbasierende GEGENMASSNAHMEN!
Der Wurm nutzt ausschließlich seit langem bekannte Sicherheitslücken aus, um sich effektiv zu verbreiten. Daher sollten alle Anwender und Administratoren die gefährdeten Anwendungen raschest auf den aktuellsten Stand bringen.
Für den Internet Explorer 5.01 SP2 folgenden Patch:
http://www.microsoft.com/windows/ie/downloads/recommended/ie501sp2/default.asp),205.520SP2
Für den Internet Explorer 5.5 folgende Patch:
href="http://www.microsoft.com/windows/ie/downloads/recommended/ie55sp2/default.asp
Für den Internet Explorer 6.0 folgende Patch:
http://www.microsoft.com/windows/ie/downloads/ie6/default.asp
Mit diesen neuen Versionen kann sich der Nimda Wurm nicht mehr automatisch über den Explorer verbreiten.
GEGENMASSNAHMEN für IIS-Betreiber!
Unter IIS 4.0/Windows NT 4.0 sollten unbedingt folgende Updates einspielt werden:
- Service Pack 6a
http://www.microsoft.com/ntserver/nts/downloads/recommended/SP6/allSP6.asp
sowie das - Security Fix Rollup Package
http://support.microsoft.com/support/kb/articles/q299/4/44.asp?ID=299444
und den - IIS Security Patch
http://www.microsoft.com/technet/security/bulletin/MS01-044.asp
Unter IIS 5.0 (Windows 2000 Server) sind folgende Patches erforderlich:
- Service Pack 2
http://www.microsoft.com/windows2000/downloads/servicepacks/sp2/default.asp
und - IIS Security Patch
http://www.microsoft.com/technet/security/bulletin/MS01-044.asp
WENN ES DOCH PASSIERT!
Sollte das Virus schon auf Ihrem System aktiv geworden sein bzw die von Ihnen gesetzten Maßnahmen zu spät kommen empfiehlt sich folgendes Vorgehen.
Grundsätzlich Ruhe bewahren! Das Virus zerstört KEINERLEI Daten auf Ihrem PC oder SERVER !!!
Seine primäre Schadensfunktion besteht darin, dass es auf Grund seiner Replikationsbemühung, also seiner Bemühungen sich zu Verbreiten die Kommunikationserver überlasstet und diese schlimmsten Falls in die Knie zwingt.
Nicht zuvergessen, daß das Virus Teile Ihre Festplatte oder Ihre gesamte Platte nach aussen hin freigibt ohne daß Sie dies unmittelbar bemerken. Vom Virus befallene ASP, HTM und HMTL Dateien haben einen Teil des Virencodes am Datei-Ende angehängt.
Hier gilt es manuel, mit Hilfe eines Texteditors, diese vom Virus erzeugten Einträge zu löschen. Anderfalls werden diese Dateien vom Virenscanner beim Bereinigen mitgelöscht.
1 Aktuallisieren Sie Ihr Virenschutzprogramm und stellen Sie sicher, daß Ihr Viren-Scanner über das aktuellste Virenupdate verfügt
2 Trennen Sie alle Netzwerkverbindungen oder wenn möglich beenden Sie alle Netzwerkdienste (Holzhammermethode den Server runterfahren!!). Dies ist ein absolutes MUSS, da sich das Virus sonst sofort wieder über Netz auf einem gesäuberten PC festsetzt.
3 Erweitern Sie die Scannereinstellungen Ihres Scanners Optionen -> Einstellungen -> Erweiterungen im Fenster Erweiterungen einen * (Stern) ein! Dieser * (Stern) bewirkt, daß Ihr Virenschutzprogramm JEDEN Dateityp auf Viren überprüft.
4 Starten Sie einen Scann über alle Festplatten auf Ihrem PC oder Ihrem Server. Verbinden Sie den betroffenen PC keinesfalls mit dem Netzwerk.
5 Findet Ihr Scanner eine Datei die mit dem W32.Nimda.A Virus infiziert ist, löschen Sie diese Dateien umgehend. Es handelt sich dabei dabei um, vom Virus erzeugte Dateien, als auch vom Virus befallene Dateien. Diese sind durch Orignial-Kopien (CD oder Backup) nach dem Scannen und abgeschlossener Säuberung zu ersetzen.
Lassen sich die Dateien NICHT löschen so benennen Sie diese Dateien um. (zB ADMIN.DLL -> wird ADMIN.TXT)
Kann ein infiziertes File nicht gelöscht werden, weil das Windows Betriebssystem mit einem Systemprozess auf das File zugreift und ein löschen somit unmöglich macht; gehen sie bitte wie folgt vor:
Für Win95/Win98/ME booten Sie den befallenen PC im DOS-Modus und entfernen/ändern Sie alle vom Virus befallenen Dateien.
Für NT/2000 empfiehlt es sich, die vom Betriebssystem "gesperrte" Datei in ein Nicht-Ausführbares-Programm umzubenennen (ADMIN.DLL -> ADMIN.TXT) um sicher zustellen, das diese Datei beim nächsten Reboot nicht exekutiert wird.
6 Löschen Sie alle Dateien aus Ihren lokalen TEMP/TMP Verzeichnissen.
7 Das Virus speichert Kopien seiner selbst direkt auf C:\, D:\ und E:\ (falls vorhanden) als ADMIN.DLL ab. Das Virus wird zu dem mit hoher Wahrscheinlichkeit in den Dateien LOAD.EXE, MMC.EXE, README.EXE, RICHED20.DLL, MEP*.TMP.EXE zu finden sein
8 Überprüfen sie nocheinmal alle *.ASP, *.HTM und *HTML Dateien sowie alle Dateien die den Begriff DEFAULT, INDEX; MAIN und README in Ihrem Dateinamen führen im Quellcode. Die vom Virus erzeugt README.EML (ein Java-Script-Code) wird mit hoher Wahrscheinlichkeit noch am Ende dieser befallenen Dateien stehen. Ersetzen Sie diese Dateien durch eine Kopie aus dem Backup!
9 Wiederholen Sie den Scan-Vorgang !! Wenn nötig solange, bis keine Infektion mehr von Ihrem Virenschutzprogramm gemeldet wird.
10 Kopieren Sie die original "RICHED20.DLL" in das Verzeichnis \Windows\System oder \WinNT\System32. Diese DLL wird von vielen Applikationen benötigt jedoch vom Virus irreparabel modifiziert und sollte beim Reinigen gelöscht worden sein.
11 Löschen Sie den nachstehenden Eintrag Shell= Eintrag in der "system.ini": load.exe - dontrunold. (nur bei Win95 und Win98 PC´s)
12 Löschen Sie den Inhalt der Wininit.ini
13 Starten Sie jetzt Ihren Computer neu !!
14 Starten Sie den Virenscanner noch ein weiteres mal! Das Virenschutzprogramm dürfte keine weitere Vireninfektion finden.
15 Überprüfen Sie ob auf Ihrem PC noch Festplatten freigegeben sind.
16 Löschen Sie den Guest-Account aus Ihrer Administratorgruppe (für NT/2000)
17 Entfernen oder korrigieren Sie die vom Virus angelegten oder veränderten Registry Einträge. Diese werden vom Virus benutzt ums sich besser verstecken zu können.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Explorer\Advanced\HideFileExt
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Explorer\Advanced\Hidden
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden
Unter NT/2000 wurde der Registry-Key
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Share\Security
vom Virus gelöscht um Sicherheitsmaßnahmen des Betriebssystems unterlaufen zu können.
Stellen Sie die Verbindung zu Ihren Servern/Netzen erst wiederher, wenn Sie zuverlässig alle PC`s und Server vom Virus gereinigt haben.
Ein "übersehenes" Sample des Virus, wird Ihre gesamte Arbeit mit hoher Wahrscheinlichkeit zu nichte machen !!
|
|
Linktipps: DSL Anschluss · Region Hannover
|
|
|
|
