Funktionsweise
vieler Würmer am Beispiel von „Nimda“
Am
18. September 2001 gegen 10:00 Uhr New Yorker Zeit trafen im
Internet-Sturmzentrum von incidents.org erste Meldungen über einen neuen Wurm
ein. Der Parasit, der sich mit bisher nicht da gewesener Geschwindigkeit im Web
ausbreitete und unter dem Namen „W32/Nimda“ bekannt wurde, verdankt seine
Virulenz vier verschiedenen Ausbreitungskriterien: Server, e-Mail, Web-Browser
und gemeinsam genutzte Daten (File-Shares).
Zunächst
forscht der Wurm im Internet nach IIS-Computern und versucht, durch
Schwachpunkte – etwa von früheren Infektionen zurückgelassene Hintertüren – in
sie einzudringen. Sobald er die Kontrolle über den Server hat, kopiert er sich
von dem angreifenden Rechner unter dem Namen „Admin.dll“ auf diesen.
Hat
sich Nimda erfolgreich auf den Server eingenistet, liest er das
Windows-Adressbuch und die E-Mails von Nutzern und sendet sich selbst an alle
verfügbaren Adressen als Anlage mit dem Namen „readme.exe“. Dabei codiert er sich
selbst derart, dass ihn Microsoft Outlook und Outlook Express beim öffnen der
E-Mail automatisch starten.
Hat
der Wurm einen Webserver infiziert, so befällt er Computer, die auf
diesem Server Webseiten öffnen. Zu Begin der Infektion erzeugt er eine Kopie
von sich selbst mit dem Namen „readme.eml“ und sucht dann im gesamten
Verzeichnis des Netzwerks nach webbezogene Daten. Findet er diese, so hängt er
ein Stückchen Code an, das dem surfenden Computer zwingt, „readme.eml“
herunterzuladen. Einige Versionen des Internet Explorers von Microsoft starten
das Programm automatisch. Jedoch kann diese Schwachstelle durch ein
Außerbetriebsetzen der JavaScript-Option des Web-Browsers behoben werden.
Schließlich
kopiert sich „Nimda“ als „readme.eml“ in alle Netzwerkverzeichnisse, in denen
der User Schreibrechte hat. Teilen sich mehrere Nutzer von verschiedenen
Computern ein solches Verzeichnis, so werden auch diese Rechner ebenfalls
infiziert, sobald auf diese zugegriffen wird. Außerdem macht der den
Nutzernamen „Guest“, der auf Windows-Systemen kein Passwort benötigt, zum
Mitglied der „Administrators“-Nutzergruppe.
Bei
seiner Suche nach Opfern startet der Wurm auf seinem Wirtsrechner mehrere
parallele Prozesse, was diesen lahm legen kann. Er nistet sich außerdem in eine
Reihe von Programmen ein, sodass die Infektion bei deren Starten von Neuem
beginnt. Er kann sich sogar derart in Textdokumente einbinden, dass der
Wurmcode beim starten des Textprozessors abgearbeitet wird. Aufgrund all diese
Maßnahmen ist „Nimda“ extrem schwer zu finden und zu beseitigen. Nutzern wird
daher geraten, ihre Computer durch komplettes Neuinstallieren des
Betriebssystem zu reinigen.
Vorherige Seite Startseite Nächste Seite