[betrieb-aktuell] Achtung Virenwarnung: Nimda-Wurm

Berthold Cogel cogel at rrz.uni-koeln.de
Mit Sep 19 10:47:38 CEST 2001 

Das DFN-CERT meldet das Auftreten eines neuen Wurms, der sich unter
anderem über Email verbreitet. Der Wurm befällt Web-Server, die unter
Microsofts Internet Information Server laufen und baut in deren
Web-Seiten Java-Skript-Code ein, der eine Datei namens "readme.eml"
nachlädt. Er nutzt dazu diverse Sicherheitslücken des IIS aus. Auf
diesem Weg kann unter Umständen schon der Besuch von Webseiten eines
infizierten Servers zur Infizierung des Rechners des Besuchers führen.

Aufgrund einer Mitteilung an Webmaster muß angenommen werden, daß
bereits Rechner im UKLAN infiziert sind.

Der Wurm wird scheinbar (zumindest unter Anderem) per E-Mail verbreitet.
Das Attachment kommt in Form einer Datei mit dem Namen "README.EXE"
(zusammen mit einer HTML-Datei) und ist vom MIME-Typ "audio/x-wav". Im
Vorschaufenster von Outlook scheint diese Mail leer zu sein.

Ein infizierter Rechner versucht, durch CodeRed2 betroffene IIS zu
befallen, aber auch eine Reihe älterer Schwachstellen in IIS 3.0 bis 5.0
auszunutzen. Darüberhinaus wird versucht, per TFTP eine Datei namens
"ADMIN.DLL" von einem vermutlich ebenfalls befallenen System
herunterzuladen (TFTP benutzt UDP-Port 69, die Datei ADMIN.DLL liegt im
Verzeichnis /scripts).

Das Orginal der Mitteilung des DFN-CERT können Sie unter
http://www.uni-koeln.de/bin2/maillist/security/1010918.182336/155090
einsehen. Diese Mail beinhaltet auch weitere Informationen über
Logfile-Einträge bei Angriffsversuchen auf Webserver.

Die benötigten Patches für IIS4/IIS5 sind in dem kumulativen Patch
enthalten, auf den Microsoft in dem Security-Bulletin MS01-044
(http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-044.asp)
hinweist.

Weitere Hinweise finden Sie auch im Heise-Newsticker
(href="http://www.heise.de/newsticker/data/ju-18.09.01-000/). Hier wird
unter Anderem empfohlen, JavaScript beziehungsweise "Active Scripting"
im Browser zu deaktivieren. 




Berthold Cogel


-- 
Dr. rer. nat. Berthold Cogel                   University of Cologne
E-Mail: cogel at rrz.Uni-Koeln.DE                 ZAIK-US (RRZK)
Tel.:   +49(0)221/478-7020                     Robert-Koch-Str. 10
FAX:    +49(0)221/478-5568                     D-50931 Cologne - Germany