Definition

Nimda

Nimda ist ein Computervirus, der erstmalig am 18. September 2001 entdeckt wurde. Der Schadcode hat sich seinen Weg durch das Internet gebahnt und damit schlechte Performance beim Traffic verursacht. Die Malware konnte sich auf unterschiedlichen Methoden verbreiten und infizierte Computer, auf denen der damals aktuelle Microsofts Webserver IIS (Internet Information Server) installiert war. Ebenso waren Nutzer von Computern betroffen, die einen bestimmten E-Mail-Anhang öffneten. Wie einige Vorfahren von Nimda ist die Payload des Schadcodes für die Geschwindigkeitsverringerung beim Traffic verantwortlich. Die Malware hat keine Dateien zerstört oder anderweitig Schaden angerichtet, wenn die Zeit nicht eingerechnet wird, die durch das Verlangsamen des Traffics verloren gegangen ist. Diese Methode ist auch als DoS-Angriff (Denial-of-Service) bekannt. Natürlich muss auch der Schaden für die Zeit und den Aufwand eingerechnet werden, Nimda von den infizierten Computern zu säubern. Durch die vielfältigen Angriffe wurde der Virus Nimda als der größte Störenfried seiner  Art bezeichnet, den die Welt bisher gesehen hatte. Der Name ist Admin rückwärts und referenziert auf eine Datei mit der Bezeichnung admin.dll. Sie war für die Weiterverbreitung des Virus verantwortlich.

Ein kurzer Überblick, wie Nimda operiert:

  • Der Virus untersucht in einem zufällig gewählten Umfang an IP-Adressen jede der sich darin befindlichen IP-Adressen. Sollte eine bekannte Schwachstelle in Microsofts Internet Information Server nicht geflickt sein, versucht die Malware, diese auszunutzen. Ein System mit einem exponierten IIS liest eine Webseite, die ein eingebettetes JavaScript enthält, das sich selbst ausführt. Somit wird der gleiche JavaScript Code auf alle Webseiten dieses Servers propagiert.
  • Anwender, die mit Microsofts Browser Internet Explorer 5.01 oder früher Seiten auf dem infizierten Server besuchten, luden ohne Wissen Seiten mit diesem JavaScript Code herunter. Wie bereits erwähnt, wird das Skript automatisch ausgeführt. Auf diese Weise verbreitete sich der Virus auf andere Computer im Internet auf eine nicht vorhersehbare Weise.
  • Nimda kann außerdem Geräte von Anwendern infizieren, die sich im internen Netzwerk befinden oder die einen gemeinsam genutztes Laufwerk (Share) benutzen.
  • Außerdem verschickt Nimda von infizierten Systemen E-Mails mit einem Anhang, der sich readme.exe nennt. Die Empfänger holt sich der Schadcode aus dem lokalen Adressbuch von Windows. Öffnet ein Nutzer den Anhang, der genau genommen eine Webseite mit dem bereits angesprochenen JavaScript ist, verbreitet er so den Virus weiter.

Das Problem lässt sich wie folgt verhindern:

  • Administratoren von Servern sollten den entsprechenden Patch von Microsoft einspielen, der für Vorgängerviren gedacht war. Eine weitere Präventivmaßnahme ist, das Öffnen von E-Mails auf dem Server zu unterbinden.
  • Anwender von PCs sollten auf keinen Fall Dateien öffnen, die sich readme.exe nennen und via E-Mail kommen.

Sollte der Server infiziert sein, können Administratoren wie folgt handeln, um das Problem zu beheben:

  • Zunächst einmal zitieren wir Russ Cooper von TruSecure: „Wenn Sie den Server online und produktiv brauchen, dann trennen Sie ihn vom Netz und somit von möglichen Infizierungen. Stellen Sie den Server von Band wieder her oder formatieren Sie ihn und installieren das Gerät neu. Im Anschluss spielen Sie die Patches ein. Stellen Sie nun die Daten wieder her, auch wenn sie infiziert sind. Lassen Sie die notwendigen Mechanismen für eine Säuberung laufen und scannen den Server im Anschluss abermals mit der angemessenen Antivirenlösung. Sieht Alles sauber aus, können Sie den Server wieder ans Netz nehmen und wie gehabt weitermachen.“ Cooper ist allerdings der Meinung, dass der Server vom Netz bleiben soll, bis sich ein Spezialist von einem Antiviren-Software-Hersteller der Sache annimmt. Er empfiehlt sogar, mehr als einen Spezialisten anzurufen, um auf der ganz sicheren Seite zu sein.

Endanwender können bei einer Infizierung wie folgt vorgehen:

  • Scannen und säubern Sie das System mit einer geeigneten Antiviren-Software.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Diese Definition wurde zuletzt im Mai 2016 aktualisiert

Erfahren Sie mehr über Bedrohungen

- GOOGLE-ANZEIGEN

File Extensions and File Formats

Powered by:

ComputerWeekly.de

Close