19.09.2001
Der Wurm hat nach den bisherigen Angaben von McAfee und Symantec keine Schadensfunktion, allerdings belastet er zusätzlich den Datenverkehr der Netzwerke. Der Wurm soll sich nach den vorhandenen Informationen sehr schnell verbreiten.
Nimda.exe baut in die Webseiten auf den infizierten Servern einen Java-Script-Code ein. Damit wird ein weiteres Browser-Fenster ohne Wissen des Users geöffnet, sobald die Seite auf dem Server angesurft wird. 'Indem die Seite angesurft wird, kann ihr Computer bereits infiziert werden', heisst es laut Informationen von Symantec. Als Schutzmaßnahme raten wir, die Java-Script-Funktion auf den Computern zu deaktivieren.
Sobald sich der Wurm als E-Mail verbreitet, erhält der Benutzer eine Nachricht mit einer zufällig erzeugten Betreffzeile. Nimda.exe verfügt in diesem Fall über ein executable Attachment Readme.exe. Laut Symantec gelangt die Funktion bereits zur Ausführung, wenn das E-Mail geöffnet wird oder mit der Vorschaufunktion in Microsoft Outlook und Microsoft Outlook Express betrachtet wird. Diese MIME-Schwäche ist bereits seit einiger Zeit bekannt und lässt sich durch das Einspielen des Microsoft-Patches beheben.
Der Wurm sucht nach E-Mail-Adressen in .htm- und .html-Files. Diese Adressen werden auch für den Absender verwendet, so dass der infizierte Computer nicht als Absender ersichtlich ist. Nimda.exe verfügt über einen eigenen SMTP-Server, um sich selbst weiter zu verbreiten. Gleichzeitig scant der Wurm die IP-Adressen auf der Suche nach IIS-Server, die mit der Folder Transversal Vulnerability angegriffen werden können. Daneben versucht der Wurm die Hintertür, die von Code Red zurückgelassen wurde, auszunutzen.
Weiter in der Web-Version mit Fotos, Videos, Links und mehr...