Funktionsweise vieler Würmer am Beispiel von „Nimda“

 

 

Am 18. September 2001 gegen 10:00 Uhr New Yorker Zeit trafen im Internet-Sturmzentrum von incidents.org erste Meldungen über einen neuen Wurm ein. Der Parasit, der sich mit bisher nicht da gewesener Geschwindigkeit im Web ausbreitete und unter dem Namen „W32/Nimda“ bekannt wurde, verdankt seine Virulenz vier verschiedenen Ausbreitungskriterien: Server, e-Mail, Web-Browser und gemeinsam genutzte Daten (File-Shares).

 

Zunächst forscht der Wurm im Internet nach IIS-Computern und versucht, durch Schwachpunkte – etwa von früheren Infektionen zurückgelassene Hintertüren – in sie einzudringen. Sobald er die Kontrolle über den Server hat, kopiert er sich von dem angreifenden Rechner unter dem Namen „Admin.dll“ auf diesen.

 

Hat sich Nimda erfolgreich auf den Server eingenistet, liest er das Windows-Adressbuch und die E-Mails von Nutzern und sendet sich selbst an alle verfügbaren Adressen als Anlage mit dem Namen „readme.exe“. Dabei codiert er sich selbst derart, dass ihn Microsoft Outlook und Outlook Express beim öffnen der E-Mail automatisch starten.

Hat der Wurm einen Webserver infiziert, so befällt er Computer, die auf diesem Server Webseiten öffnen. Zu Begin der Infektion erzeugt er eine Kopie von sich selbst mit dem Namen „readme.eml“ und sucht dann im gesamten Verzeichnis des Netzwerks nach webbezogene Daten. Findet er diese, so hängt er ein Stückchen Code an, das dem surfenden Computer zwingt, „readme.eml“ herunterzuladen. Einige Versionen des Internet Explorers von Microsoft starten das Programm automatisch. Jedoch kann diese Schwachstelle durch ein Außerbetriebsetzen der JavaScript-Option des Web-Browsers behoben werden.

 

Schließlich kopiert sich „Nimda“ als „readme.eml“ in alle Netzwerkverzeichnisse, in denen der User Schreibrechte hat. Teilen sich mehrere Nutzer von verschiedenen Computern ein solches Verzeichnis, so werden auch diese Rechner ebenfalls infiziert, sobald auf diese zugegriffen wird. Außerdem macht der den Nutzernamen „Guest“, der auf Windows-Systemen kein Passwort benötigt, zum Mitglied der „Administrators“-Nutzergruppe.

 

Bei seiner Suche nach Opfern startet der Wurm auf seinem Wirtsrechner mehrere parallele Prozesse, was diesen lahm legen kann. Er nistet sich außerdem in eine Reihe von Programmen ein, sodass die Infektion bei deren Starten von Neuem beginnt. Er kann sich sogar derart in Textdokumente einbinden, dass der Wurmcode beim starten des Textprozessors abgearbeitet wird. Aufgrund all diese Maßnahmen ist „Nimda“ extrem schwer zu finden und zu beseitigen. Nutzern wird daher geraten, ihre Computer durch komplettes Neuinstallieren des Betriebssystem zu reinigen.

 

 

 

---

 

 

 

Vorherige Seite                       Startseite                         Nächste Seite

 

Thema 18