So verbreitet sich Nimda
Nimda breitet sich mit rasender Geschwindigkeit aus. Das liegt vor allem daran, dass Nimda verschiedene Methoden benutzt, um sich zu verbreiten. Diese Methoden sind im folgenden aufgeführt.
Verbreitung über E-Mails
Nimda durchsucht die E-Mail-Postfächer, sowie Dateien mit den Endungen *.HTM und *.HTML im Verzeichnis "C:WindowsTemporary Internet Files" nach E-Mail-Adressen. An diese E-Mail-Adressen schickt der Wurm eine E-Mail mit Attachment mittels einer eigenen E-Mail-Engine. Das Attachment enthält die Datei Readme.exe und maskiert die Datei als MIME-Typ Audio/X-Wav. So kann der Code mittels Media Player automatisch gestartet werden.Achtung: Um den Code zu aktivieren muss das Attachment nicht einmal angeklickt werden, sofern das Vorschaufenster in Microsoft Outlook oder Microsoft Outlook Express aktiviert ist.
Verbreitung über das Internet
Bei der Verbreitung über das Internet wird ein Sicherheitsloch im Microsoft Internet Information Server benutzt. Zwar ist schon seit einiger Zeit eine Patch vorhanden, der diese Sicherheitslücke schließt, dennoch ist dieser Patch nicht auf allen Systemen installiert.Wird eine infizierte Webseite besucht, so öffnet sich mittels JavaScript eine weiteres Browserfenster, in dem der Virus-Code direkt ausgeführt wird. Ist JavaScript auf Ihrem Browser deaktiviert, kann der Virus sich auf diese Weise nicht verbreiten.
Verbreitung über freigegebene Laufwerke
Auf den infizierten Computern werde die Laufwerke freigegeben und es wird ein Gastzugang mit Administrator-Rechten eingerichtet. Danach sucht der Wurm nach weiteren freigegeben Laufwerken.Programmdateien mit der Endung *.EXE werden infiziert, indem der Code des Wurms an diese Dateien angehängt wird. Die Programmdateien bleiben auch nach der Infizierung lauffähig, so dass dieser Vorgang unbemerkt bleibt. Wird die infizierte Programmdatei ausgeführt, so wird auch der Code des Wurms aktiviert.
20.09.2001 0
