Gestern zog der malicious code „Nimda“ in Europa ab dem späten Nachmittag eine Spur der Verwüstung durch die Netzwerke von Unternehmen und Behörden: Die Hersteller von Antiviren-Software sehen sich mit einer vollkommen neuen Bedrohung konfrontiert, da die Software hochkomplex, stark verschlüsselt und polymorph ist: Der „Virus“ kennt alleine 16 verschiedene Möglichkeiten, den Internet Information Server (IIS) von Microsoft (Börse Frankfurt: MSF) anzugreifen, verbreitet sich darüber hinaus per Mail und über das Netzwerk und hat die Fähigkeiten eines Massenmailers.
„Mir ist nicht bekannt, dass es jetzt, nach zwölf Stunden, einem Hersteller von Antiviren-Software gelungen wäre, Nimda vollständig zu analysieren“, erklärte der Geschäftsführer von Trend Micro Deutschland, Raimund Genes, gegenüber ZDNet. Das ist auch der Grund dafür, warum die bisherigen Virendefinitionen relativ schwammig klingen und sich ständig ändern.
Nach seinen Angaben haben die unbekannten Virenautoren für Nimda Teile der bereits bekannten Würmer Code Red und Code Blue kombiniert und den bereits mit MagistrA verbreiteten eigenen SMTP-Client zweitverwertet. „Ich glaube auch nicht, dass es sich dabei um Einzelpersonen handelt, denn der Code ist sehr komplex und es würde für einen alleine sehr lange dauern, etwas wie Nimda zu schreiben.“
Die Zahl der in Europa betroffenen Unternehmen geht nach Angaben von Genes in die zehntausende. „Das Problem ist, dass sich der malicious code auch über das Netzwerk verbreitet. Das heißt, der Administrator muss zunächst einmal alle Verbindungen zur Außenwelt kappen und dann das gesamte System scannen. Wenn er nach dem Neustart der Server aber ein Exemplar von Nimda übersehen hat, geht die Infektionskette wieder von vorne los.
Dem Normaluser rät Genes, die Sicherheitseinstellungen des Browsers auf „Hoch“ zu setzen und die Vorschau im Mail-Programm auszuschalten. „Nimda wird bereits in der Preview ausgeführt“, so der Antiviren-Spezialist.
Die hohe Anzahl der Infektionen führte laut Genes auch zu einem sehr großen Produktivitätsverlust. Offensichtlich war genau das das Ziel der unbekannten Autoren: „Es gibt zwar für jedes der 16 Sicherheitslöcher, die bei IIS angegriffen werden, einen Patch. Aber vor allem in Amerika gibt es viele kleine Unternehmen, deren Webauftritt irgendwann mal aufgesetzt wurde, die ihren Content ändern können, aber sich nicht groß um das System kümmern. Die sind natürlich verwundbar“, sagte der Antiviren-Experte. Dass Outlook XP bereits höhere Sicherheitsvorkehrung als die Vorgängerversionen hat, ist nach Ansicht der Antiviren-Experten der Grund, dass die Cyber-Vandalen ihrer Kreation einen eigenen SMTP-Client beigepackt haben.
Nimda wird die Welt der Antiviren-Software stark verändern: „Spätestens jetzt muss jedem klar sein, dass es nicht mehr genügt, im Kaufhaus fünf Antiviren-Einzelplatzlizenzen zu kaufen, um ein Unternehmen zu schützen“, so Genes. „Die Bedrohung wird immer komplexer und darauf müssen wir reagieren. Wir arbeiten bereits an einer zentral verwalteten Lösung, die das gesamte Netzwerk beim Schutz vor malicious code mit einbezieht und nicht mehr nur einzelne Aspekte wie das Gateway herausgreift. Außerdem fragen uns unsere Kunden nach push-services, bei denen sie die neuesten Viren-Definitionen gleich in ihr Netzwerk übertragen bekommen.“
Kontakt:
Trend Micro, Tel.: 089/37479700 (günstigsten Tarif anzeigen)
Neueste Kommentare
4 Kommentare zu „Zehntausende Nimda-Infektionen in Europa“
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Erst wenn der letzte Server infisziert..
Erst wenn der letzte Server infisziert ist, der letzte Microsoft Server down ist, die letze Mailbox verseucht ist, werdet Ihr merken, dass der IIS nix taugt. So oder ähnlich ;o)
Also mit Linux mach ich mir wegen des Virus keine Sorgen
Erst wenn
… der letzte IIS Server down ist.
Du hast recht – ohne Zweifel, vor allem als alter UNIX Hacker (noch zu Zeiten lange vor X-Windows !) habe ich eine große Aversion gegen alles was von M$ kommt – was gutes habe ich noch nie gesehen, nur schlecht abgekupfertes.
Leider kommt man nicht umhin sich mit dem Schrott auseinander zu setzen. Ich betreue einige echt dicke W2K Server. Da macht es dann schon Freude, wenn sich (vor 3 Wochen) Code Red II, trotz ALLER Sicherheitsmaßnahmen, Patches und wer-weiß-was doch auf den einen Server setzt und jetzt Nimda… Mahlzeit.
Billy, wir danken Dir.
Ich habe noch privat ’ne SGI Onxy und eine Crimon (IRIX 6.2-6.5), dazu einige Indigo’s und SUN’s. Dafür _kenne_ ich gar keine Anti Viren Software, die Kisten haben alle ein feste IP, ein Standleitung und sich noch nie einen Virus eingefangen… die Leute, die mit solchen Maschinchen arbeiten haben es irgendwo anscheinend nicht nötig – oder keine Zeit – ihr Talent zum schreiben von Viren einzusetzen. Und ich denke auch, daß sich das nie ändern wird..
Linux
Na ja, wenn Microsoft nicht währe hät ich nicht so einen tollen Job, und wenn es kein IIS Server und Outlook mehr gibt gehen die Viren Programmierer auf Linux los.Wird wohl mal Zeit das jemand Viren für Linux bzw Unix schreibt -:)
Linux-Leute, täuscht Euch nicht!
Wenn die Verbreitung von Linux zunimmt, was sich ja jeder Linux-Fan wünscht, dann werden die erfolgreichen Angriffe auch da rapide zunehmen. Auch Linux/Unix und die darauf laufenden Anwendungen wurden und werden von Menschen und nicht von Göttern gemacht, und Menschen machen Fehler.
Ein Angreifer ist an einem möglichst hohen Schaden interessiert, und den erreicht er natürlich mit dem populärsten Systemen, dzt. also Windows, Office %& Co.
Natürlich kann Linux dazu beitragen, die heutige Software-Monokultur zu reduzieren, heterogene Strukturen sind generell weniger verwundbar. Aber unverwundbar ist auch Linux nicht, es ist dzt. einfach noch nicht so interessant!