W32/Nimda (W32/Nimda.eml)

Bei dem Wurm W32/Nimda handelt es sich um einen Internet-Wurm, der sich als Massen-Mailer per Email versenden kann. Er kann auf allen Microsoft Windows 9x/Me und NT/2000 Plattformen ausgeführt werden.

Nimda verschickt sich selbst in einer Email als Attachment. Dieses Attachement trägt den Namen README.EXE, wobei die Dateinamenserweiterung .EXE standardmäßig nicht sichtbar ist.

Das Aussehen der Email ist unterschiedlich: Die Betreffszeile enthält einen zufälligen Text und der Body der Email ist zu meist leer. Werden Outlook oder Outlook Express eingesetzt, wird das Attachment selbst nicht in der Vorschau angezeigt.

In seltenen Fällen können die Attachments auch die Dateinamenserweiterungen .COM oder .WAV tragen.

Wird die README.EXE beispielsweise automatisch oder durch einen Doppelklick ausgeführt, kopiert sich der Wurm in des Temp-Verzeichnis von Windows. Er erstellt eine Datei unter einem veränderlichen Namen der FormMExxxx.TMP.EXE, wobei xxxx variabel ist. Diese Datei wird ausgeführtund unter Windows 9x/Me beim nächsten Systemstart wieder gelöscht.

Danach kopiert sich der Wurm als folgende Dateien im Windows- bzw. System-Verzeichnis:

WINDOWS\LOAD.EXE
WINDOWS\RICHED20.DLL
WINDOWS\SYSTEM\RICHED20.DLL
WINDOWS\SHELLNEW\RICHED20.DLL

Bereits bestehende Dateien gleichen Namens werden hierbei überschrieben.

Die Datei LOAD.EXE wird in die SYSTEM.INI eingetragen. Hierdurch wird der Wurm beim nächsten Start von Windows automatisch ausgeführt:

SHELL=exploerer.exe load.exe -dontrunold

Nach einigen Minuten erstellt der Wurm in allen Unterverzeichnissen des Windows-Laufwerkes verschiedene .EML (Email-Dateien) -oder .NWS-Dateien (Newsgroup Postings). Diese Dateien enthalten wiederum den Wurm. Existieren Freigaben mit Schreibrechten, so kopiert sich der Wurm auch in diese Netzwerklaufwerke. Auch hier als zufällige .EML- oder .NWS-Dateien in den Unterverzeichnissen.

Anschliessend setzt der Wurm alle Anzeige-Einstellungen des Windows-Explorers auf seine Standardwerte zurück. Es werden nach der Umstellung keine als ’versteckt’ bzw. ’system’ deklarierte Dateien mehr angezeit. Auch die Anzeige der Dateinamenserweiterungen bei bekannten Programmen wird unterdrückt.

Besteht eine Verbindung zum Internet, versucht sich Nimda per FTP eine Datei namens ADMIN.DLL herunterzuladen. Unter NT versucht der Wurm einen Guest-Account dem System hinzuzufügen und versucht ebenfalls, diese, Account Administratorrechte zu verschaffen. Darüber hinaus gibt er das komplette Laufwerk C:\ mit Schrei- und Leserechten frei. Anschließend löscht der Wurm alle Keys im folgenden Registry-Eintrag: 

\System\CurrentControlSet\Services\Ianmanserver\Shares\Security

Wird der Wurm auf einem IIS Web-Server ausgeführt, erstellt er eine Datei namens README.EML. Zur automatischen Ausführung dieser Datei (beim Aufruf einer Webseite) baut er ein Java-Script ggf. in folgende Dateien ein:

Index.html
Index.htm
Index.asp
Readme.html
Readme.htm
Readme.asp
Main.html
Main.htm
Main.asp
Default.html
Default.htm
Default.asp

Wird nun eine der oben genannten veränderten Seiten aufgerufen, wird das Java-Script ausgeführt. Der Browser lädt die Datei README.EML auf den lokalen Rechner herunter. Einige Browser öffnen diese Datei je nach Sicherheitseinstellung sofort und führen das Attachement README.EXE gleich aus.

Um sich vor dieser Art der Infektion zu schützen, sollte die Sicherheitsstufe des Internet Explorers auf HOCH gestellt werden und die IIS Web-Server mit den aktuellen Patches von Microsoft versehen werden:

 

Microsoft IIS 4.0

http://www.microsoft.com/ntserver/nts/downloads/critical/q269862/default.asp

 

Microsoft IIS 5.0

http://www.microsoft.com/windows2000/downloads/critical/q269862/daufault.asp

  weitere Virenbeschreibungen
  Virenkunde