Die DEUTSCHEN Trojaner-Seiten
 
Home
Analyse Win32/Nimda-Wurm

Diese Analyse wurde von Andreas Marx und seinem Team von AV-Test.de der Universität Magdeburg durchgeführt und geschrieben. Über diesen Weg möchten wir uns für die Freigabe zur kompletten Veröffentlichung auf trojaner-info.de bedanken.

Den Wurm haben wir die gesamte Nacht lang analysiert, auf die kompletten technischen Details haben wir in der Beschreibung aber verzichtet.

Seit Dienstag Abend (18.09.2001) erhielten wir Dutzende Anfragen bezüglich eines "Nimda" bzw. "Minda" getauften Wurmes. Weitere Alias-Namen sind "Win32/Minda.A@mm", "Code Rainbow", "New Concept" und "Nimbda".

Derzeit gehen Experten davon aus, dass er bereits mehr Rechner als "Code Red" und "Loveletter" zusammen infiziert hat. Er nutzt knapp 20 bekannte Sicherheitslücken in Windows-Systemen aus, um sich effektiv verbreiten zu können:

- Per E-Mail im Stil von Melissa oder Loveletter (es reicht aus, die E-Mail zu betrachten, es muss kein Anhang geöffnet werden),
- Über zugängliche Netzwerkverbindungen wie Win32/QAZ (der Wurm sucht
selbständig nach anderen Rechnern),
- per Browser über geöffnete Seiten von kompromittierten Webservern (über
Javascript)

Internet Information Server (IIS) von Microsoft versucht er mittels der Sicherheitslücke "Directory Traversal" zu infizieren bzw. durch die Hintertüren-Programme, die von Infektionen durch den "Code Red II" oder "Sandmin"-Wurm hinterlassen worden sind.

Der Wurm (readme.exe) ist 57344 Bytes lang und liegt unverschlüsselt vor. Er modifiziert sich bei jeder Infektion leicht, ist aber trotzdem einfach zu erkennen. Er enthält u. a. den Text "Concept Virus(CV) V.5, Copyright(C)2001 R.P.China".

*** Gegenmittel ***

Der Wurm nutzt viele seit langen bekannte Sicherheitslücken aus, um sich effektiv zu verbreiten. Daher sollten alle Anwender und Administratoren die gefähredeten Anwendungen umgehende auf einen aktuellen Stand bringen.

Endanwender sollten dringend auf den Internet Explorer 5.01 SP2 (Link hier), 5.5 SP2 (Link hier) oder 6.0 (Link hier) updaten. Ist dies nicht möglich, so sollte zumindest folgender Patch (Link hier) installiert sein. Mit diesen neuen Versionen kann sich der Wurm nicht mehr automatisch verbreiten.

Weiterhin sollte das Anti-Viren-Programm aktualisiert werden. Alle großen Hersteller haben bereits Updates herausgebracht, die den Wurm erkennen und beseitigen können.

Betreiber eines Webservers mit dem IIS 4.0 unter Windows NT 4.0 sollten unbedingt folgende Updates einspielen:

- Service Pack 6a und
- Security Fix Rollup Package und
- IIS Security Patch

Unter IIS 5.0 (Windows 2000 Server) sind folgende Patches erforderlich:

- Service Pack 2 und
- IIS Security Patch

*** Beschreibung ***

Der "Nimda"-Wurm nutzt verschiedene Sicherheitslücken aus, um sich effektiv verbreiten zu können. Er verschickt sich zunächst per E-Mail an alle Adressen, die er finden kann. Solche E-Mails haben keinen oder nur einen unsinnigen (zufälligen) Betreff, keinen Nachrichttext und als Anhang eine Datei README.EXE, die als Sound-Datei (WAV) deklariert ist. Ältere Versionen von Outlook oder Outlook Express starten den Anhang bereits, wenn das Vorschaufenster aktiv ist. Der Benutzer muss nicht einmal auf das Attachment klicken! Auf einigen Systemen öffnet sich auch der Windows Media Player, er spielt jedoch nichts ab. Die EXE-Datei hat das Logo vom Internet Explorer.

Weiterhin befällt der Wurm Internet-Server über Lücken, die schon von mehreren Würmern ausgenutzt wurden. Er hängt sich dabei an die dort vorhandenen Internet-Seiten im HTM, HTML- oder ASP-Format an. Dazu verwendet er JavaScript, um ein neues Fenster mit der infizierten Datei README.EML zu öffnen. Auf ungepatchten Systemen wird diese Datei automatisch ausgeführt und der Virus aktiv. Um eine solche Verbreitung auszuschließen, kann auch JavaScript komplett ausgeschaltet werden - in diesem Fall kann sich das Fenster nicht öffnen und die Datei wird nicht ausgeführt.

Der Wurm gibt unter Windows 95/98/ME alle lokalen Laufwerke im Netzwerk ohne Passwortschutz frei. Auf NT 4.0 und 2000-Systemen werden ebenfalls alle Laufwerke freigegeben, wobei der Gast-Account alle Zugriffsrechte bekommt und er zusätzlich in die Gruppe der Administratoren hinzugefügt wird. Unter allen Systemen öffnet dies gravierende Sicherheitslücken. Der Wurm versucht weiterhin, alle erreichbaren Rechner im Netzwerk direkt zu infizieren, indem er Dateien gegen infizierte Exemplare austauscht.

Um bei jedem Systemstart aktiv zu werden, legt der Wurm eine Kopie von sich mit dem Namen LOAD.EXE an. Anschliessend trägt sich der Wurm in die Datei system.ini mittels "shell=explorer.exe load.exe -dontrunold" ein. Um ihn zu entfernen muss der Eintrag auf "shell=explorer.exe" geändert werden.

Bei aktivem Wurm steigt die Auslastung des Netzwerkes rapide an, der er mittels verschiedenen Methoden nach weiteren verwundbaren Systemen im Stile von "Code Red" Ausschau hält.

Infizierte Systeme lassen sich am Vorhandensein einer Datei mit dem Namen ADMIN.DLL im Hauptverzeichnis erkennen (z.B. C:\ADMIN.DLL). Für eine Entfernung sollte man zunächst ein Anti-Viren-Programm im Modus "Alle Dateien scannen" und "Reinigen" laufen lassen. Nicht alle Programme können alle Spuren des Virus beseitigen, daher haben wir eine Liste mit Beschreibungen und Desinfektionsanleitungen zu den einzelnen Scannern bereitgestellt.

*** Reaktion der Hersteller ***

Wir haben die wichtigsten Hersteller unter die Lupe genommen und geschaut, wie lange sie gebraucht haben, um ein Update bereit zu stellen. Denn kein Programm konnte den Wurm - obwohl er sehr einfach im Aufbau ist - ohne Update erkennen. Achtung: Einige Hersteller haben mittlerweile ein zweites oder drittes Update der Virendefinitionen herausgegeben.

Fast gleichzeitig haben Sophos, AVX und Norman bereits am späten Nachmittag ein Update auf ihren Webseiten verfügbar gehabt. Leider war die Webseite von Sophos zum Teil überlastet, mittlerweile ist sie aber wieder gut zu erreichen.

Kurz darauf enthielten auch die Webseiten von Symantec und Kaspersky Updates, die den Wurm erkennen konnten. Die Webseiten von Kaspersky waren zeitweise auch stark überlastet und der Inhalt wurde oft nicht korrekt dargestellt.

Schnell war ebenfalls F-Prot mit einem Update. Die Webseiten enthielten einige Zeit nach der Verfügbarkeit aber noch keinen Hinweis, dass die Signaturdateien geupdated wurden. Dieser Mangel wurde erst im Laufe des Abends behoben. F-Secure hatte ein Update ebenfalls kurz darauf verfügbar.

Erst am Abend hatte auch Network Associates ein Update parat. Allerdings war der Link auf der Startseite falsch gesetzt und lange Zeit konnte man nur das alte Update "4158" herunterladen, welches den Wurm nicht erkennen konnte. Nur, wenn man direkt über das Virenlexikon ging, konnte man Extra-Treiber herunterladen, welche den Virus erkennen konnten. Diese wurden kurz darauf aktualisiert. Mittlerweile ist das Update "4160" verfügbar, welches den Wurm auch ohne Extra-Treiber erkennen kann.

Kurz darauf erschienen Updates von AntiVir und Panda Anti-Virus, die den Wurm aufspüren konnten.

Lange Zeit waren die Download-Seiten von Computer Associates überlastet. Erst im Laufe der Nacht konnten wir sie wieder erreichen. Zu diesem Zeitpunkt war ein Update vorhanden. Auch Trend Micro stellte erst sehr spät in der Nacht ein Update bereit und die Seiten waren ebenfalls nur sehr schwer bis gar nicht erreichbar.

*** Updates und weitere Informationen ***

Weitere englischsprachige Informationen zum Worm und Updates sind unter folgenden Adressen verfügbar:

(Hinweise ohne Verlinkung bedeutet noch keine Hinweise beim Hersteller verfügbar)

CERT/CC (Herstellerunabhängig):
Informationen | Updates

AVX:
Informationen | Update

AntiVir:
Informationen | Update

Computer Associates:
Informationen | Update

eSafe:
Informationen | Update

F-Prot:
Informationen | Update

F-Secure:
Informationen | Update

Kaspersky:
Informationen | Update

Network Associates:
Informationen | Update

Norman:
Informationen | Update (über Internet-Update Programm)

Panda Software:
Informationen | Update (Über Internet-Update Programm)

Sophos:
Informationen | Update

Symantec:
Informationen | Update

Trend Micro:
Informationen | Update

Der Artikel wurde durch den Verfasser in den Morgenstunden am 19.09.2001 geschrieben.

(tt) 19.09.2001