Re: [rohrpost] INFO: Neuer Internetwurm "W32/Nimda.A"

[Hendrik Naumann <hn75@gmx.de>]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Es wird immer besser ... aus dem Heise-Ticker 

Schutzma�nahmen gegen den Nimda-Wurm (Update)

Der Verdacht, dass man den eigenen PC allein durch das Surfen mit dem
Internet Explorer mit dem neuen Virus "Nimda"[1] infizieren kann, hat
 sich best�tigt. Der Wurm bef�llt Web-Server, die unter Microsofts
 Internet Information Server laufen und baut in deren Web-Seiten
 Java-Skript-Code ein, der eine Datei namens "readme.eml" nachl�dt.
 Er nutzt dazu diverse Sicherheitsl�cken des IIS aus.

Da sich der Wurm anscheinend noch schneller als Code Red verbreitet,
 sollte man als Schutzma�nahme unbedingt JavaScript beziehungsweise
 "Active Scripting" deaktivieren. Das hat zwar zur Folge, dass manche
 Web-Seiten nicht mehr funktionieren, aber in Anbetracht des hohen
 Infektionsrisikos sollte man das in Kauf nehmen. N�here
 Informationen,wie das zu geschehen hat, finden Sie auf unseren
 Browsercheck-Seiten[2]. Netzwerk-Adminstratoren sollten versuchen,
 auf ihren Proxies die �bertragung von Dateien mit dem Namen
 "readme.eml" zu unterbinden[3].

Au�erdem verbreitet sich der Wurm per E-Mail. Die Mails enthalten ein
Attachment namens "readme.exe", das den MIME-Typ Audio/WAV tr�gt.
 Bestimmte Versionen Versionen von Outlook Express �ffnen dieses
 Attachement ohne Zutun des Benutzers schon beim Anzeigen der Mail.
 Dieser Bug l�sst sich durch das Einspielen eines Patch von
 Microsoft[4] beheben.
Netzwerk-Adminstratoren sollten, wenn m�glich, die �bertragung von
EXE-Dateien als Attachment auf ihren Mail-Gateways blockieren.

Und schlie�lich breitet sich Nimda auch �ber Windows-Datei-Freigaben
 aus. Wie das geschieht und wie man es unterbinden kann, ist derzeit
 noch unklar.

Mittlerweile bieten auch die ersten Antiviren-Hersteller
 Informationen und teilweise auch Updates zu Nimda an. Die meisten
 Antiviren-Programme k�nnen den Sch�dling erst nach einem Update
 erkennen und unter Umst�nden auch entfernen.

Sophos   http://www.sophos.com/virusinfo/analyses/w32nimdaa.html[5]

NAI:  http://vil.nai.com/vil/virusSummary.asp?virus_k=99209[6]

F-Secure:  http://www.f-secure.com/v-descs/nimda.shtml[7]

Symantec:
 http://www.sarc.com/avcenter/venc/data/w32.nimda.a@mm.html[8]

Frisk (F-Prot): http://www.frisk.is/f-prot/virusinfo/nimda.html[9]

Kaspersky: http://www.kaspersky.com/news.asp[10]

 (ju[11]/c't)

URL dieses Artikels:
 http://www.heise.de/newsticker/data/ju-18.09.01-000/

Links in diesem Artikel:
 [1] http://www.heise.de/newsticker/data/pab-18.09.01-000/
 [2] http://www.heise.de/ct/browsercheck/
 [3] http://www.heise.de/newsticker/data/ju-18.09.01-001/
 [4]
 http://www.microsoft.com/windows/ie/downloads/critical/patch9/defaul
t.asp [5] http://www.sophos.com/virusinfo/analyses/w32nimdaa.html [6]
 http://vil.nai.com/vil/virusSummary.asp?virus_k=99209
 [7] http://www.f-secure.com/v-descs/nimda.shtml
 [8] http://www.sarc.com/avcenter/venc/data/w32.nimda.a@mm.html
 [9] http://www.frisk.is/f-prot/virusinfo/nimda.html
 [10] http://www.kaspersky.com/news.asp
 [11] mailto:ju@ct.heise.de

- --------------------------------------------------------------------
Copyright 2001 by Verlag Heinz Heise

- -------------------------------------------------------
- -- 
PGP ID 21F0AC0265C92061
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.3 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQE7qH7BIfCsAmXJIGERAkqbAJ94vq6Sx8SrkQD3X3Za4QmifxlvtQCeII90
q3F5hd5Wmy/Dmo7RrccW67w=
=9dv/
-----END PGP SIGNATURE-----
-------------------------------------------------------
rohrpost - deutschsprachige Liste fuer Medien- und Netzkultur
Archiv: http://www.nettime.org/rohrpost Info: http://www.mikro.org/rohrpost
Ent/Subskribieren: http://post.openoffice.de