Nimda zieht Schneise der Verwüstung

Das Virus-Wurm-Konglomerat Nimda hat in der Nacht von Montag auf Dienstag eine Schneise der Verwüstung durch Europa gezogen. Anrufe bei Herstellern von Antiviren-Software ergaben überall dasselbe Bild: Zahlreiche infizierte Unternehmen und überlastete Web-Sites mit den eilig zusammengestellten Virendefinitionen waren auch am Dienstag noch an der Tagesordnung.

Der F-Secure-Sprecher Travis Witeveen berichtete von über 50.000 infizierten PCs, die dem Unternehmen gemeldet wurden. Die ersten Warnungen gingen bei dem Sicherheits-Spezialisten kurz nach 18 Uhr ein. Als die ersten Virus-Definitionen gegen die Infektion via Mail und Internet auf der Web-Site zum Download zur Verfügung standen war es kurz vor 19.30 Uhr. „Man muss fast sagen ‚glücklicherweise‘ hat Nimda einige Programmierfehler, so dass wir von Abstürzen wissen, die nicht zu weiteren Infektionen geführt haben“, erklärte Witeveen.

Nimda ist so vielfältig, dass sich die Antiviren-Experten uneinig über die verschiedenen verwendeten Komponenten sind. Dirk Kollberg von Network Associates Avert-Center in Hamburg versichert, dass ein Trojaner in Nimda enthalten ist. Eric Chien, Symantecs Virenforscher, sagt nein. Des Rätsels Lösung: Unter Windows 95 und 98 werden auf infizierten Rechnern alle Laufwerke freigegeben. Bei Maschinen mit Windows NT und 2000 richtet Nimda einen Gast-Account mit Administratoren-Rechten ein. Dadurch wird ein Fernzugriff für Unbekannte möglich.

Auch über die Auswirkungen des Codes herrscht Streit. Während der Geschäftsführer von Sophos Antivirus Deutschland, Pino von Kienlin, damit rechnet, dass die Auswirkungen von Nimda innerhalb der nächsten beiden Tage behoben sein müssten, geht die Symantec-Sprecherin Andrea Wolf davon aus, dass „wir eine weitere Welle bei den Privatanwendern erst noch vor uns haben. Das wird noch einige Tage so gehen.“ Denn aufgrund des eingebauten Massen-Mailers bedeutet jeder infizierte Privatrechner einen Multiplikator.

„Nimda ist nicht sonderlich gut programmiert“, stellt Wolf klar. „Die Programmierer haben die verschiedenen Einzelstücke in Reihe geschaltet. Hätten sie sich die Mühe gemacht sie zu verzahnen, wäre der Code noch viel schädlicher.“ Michael Dickopf, Sprecher des Bundesamtes für Sicherheit in der Informationstechnologie (BSI) ist überzeugt, dass die Folgen von Nimda schwerwiegender gewesen wären, hätte es Code Red nicht gegeben: „Nimda sucht ja einerseits zum Teil nach den selben verwundbaren Stellen wie Code Red. Und andererseits sind die Administratoren jetzt sensibel gegenüber Patches und spielen diese auch auf.“

Allerdings zeigen sich alle Antivirus-Experten erleichtert darüber, dass Nimda keinen ähnlichen Auftrag wie Code Red hat. „Nimda enthält sehr viele Komponenten aber keine DDoS-Attacke“, sagte Wolf. Spürbar ist Nimda trotzdem: „Ich kriege hier durchschnittlich 170 Angriffsversuche in der Stunde auf meine Maschine“, erklärte Dirk Kollberg. „Bei Code Red konnte ich dieses Niveau dann hochrechnen. Doch Nimda hat vier verschiedene Verbreitungswege, da geht das nicht.“

„Nimda hat etwas diabolisches“, meinte Michael Dickopf vom BSI. „Er beschränkt sich nicht nur auf Web-Server, so dass man einen Angriffspunkt hätte, sondern geht auch auf Privat-PC. Diese Kombination ist neu.“

Kontakt: Network Associates, Tel.: 089/37070 (günstigsten Tarif anzeigen)

Symantec, Tel.: 02102/74530 (günstigsten Tarif anzeigen)

F-Secure, Tel.: 089/24218425 (günstigsten Tarif anzeigen)

Sophos, Tel.: 06136/91193 (günstigsten Tarif anzeigen)