Nimda-Wurm verbreitet sich im Internet - Sophos warnt vor Angriff von zwei Fronten

September 19, 2001 Sophos Press Release

Sophos, weltweit führender Anbieter von VirenschutzLösungen, mahnt Anwender, auf der Hut vor einem zerstörerischen neuen Virus namens W32/NimdaA (alias Nimda) zu sein. Sophos wurde dieser Wurm bereits mehrere hundert Mal als "in the wild" gemeldet.

Der NimdaWurm nutzt eine Schwachstelle in der WebserverSoftware von Microsoft IIS, um Websites mit Schäden verursachendem Code zu verseuchen. Ohne dass sie es wissen, können ahnungslose Computeranwender den Wurm aktivieren, indem sie einfach nur eine Website besuchen. Der Wurm leitet sich daraufhin per EMail an alle Adressen weiter, die er auf dem Computer des Anwenders findet. Infizierte EMails enthalten das Attachment README.EXE, und auf einigen Systemen wird der Virus sogar automatisch ausgeführt, ohne dass der Anwender auf das Attachment doppelklicken muss.

"Dieser Virus ist sehr ernst zu nehmen Anwender können infiziert werden, wenn sie im Internet surfen oder indem sie eine infizierte EMail öffnen," sagt Gernot Hacker, Virenexperte bei Sophos AntiVirus. "Man kann sich Nimda als eine Kombination der Mechanismen von drei existierenden Viren vorstellen: Troj/CodeRedII (der einen Angriff auf nicht gepatchte Webserver startet), Kakworm (der mit Hilfe von nicht gepatchten Mailern bzw. Browsern verschlüsselte Dateien automatisch ausführt) und Sircam (der ein EMailAttachment versendet und davon ausgeht, dass zumindest einige wenige Anwender darauf klicken werden)."

Forscher bei Sophos haben ein eigenständiges Dienstprogramm entwickelt, das den Virus W32/NimdaA erkennt und desinfiziert.

* Download für nimda.zip (Dienstprogramm und Hinweise, ZipDatei)
* Download für nimdasfx.exe (Dienstprogramm und Hinweise, selbstentpackende ZipDatei)
* Hinweise zum Dienstprogramm (englisch)