English | Deutsch | Español | Português
 Benutzerkennung:
 Passwort:
Registrieren
   Partnerprogramme  |  Referenzen  |  In der Presse  |  Mailinglisten  |  Über uns |  |  Kontakt  |  Datenschutz  |  Missbrauch
 Werkzeuge:   Web Sonde  |  World-Wide WHOIS  |  Trace Route  |  Nimda Selbsttest  |  Code Red Selbsttest  |  W32.Bugbear
 
Nimda Selbsttest

Was ist der Nimda Wurm?
Der Nimda Wurm ist auch als w32.Nimda.A@mm, Code Rainbow, Minda, Nimbda bekannt und ist ein selbst-vervielfältigendes Stück Software, das IIS Webserver und Benutzer des Internet Explorer 5 infiziert. Er wurde zuerst am Dienstag dem 18ten September gegen 9 Uhr morgens festgestellt. Der Wurm verbreitet sich auf mindestens 4 verschiedenen Wegen:

  • Versucht eine Vielzahl verschiedener IIS Lücken auszubeuten, einschließlich der Unicode Lücke und Infektionen früherer Würmer (SAdminD/Code Red II) und beginnt einen neuen Angriffszyklus, sobald die Infizierung abgeschlossen ist.
  • Abänderung von Webseiten auf einem Webserver, die bei Betrachtung mit IE 5.0 den IE veranlassen bösartige Codes auszuführen, die das System des Benutzers infizieren. Beachten Sie, dass der Benutzer dazu nicht IIS laufen haben muss.
  • Aberntung von Email Adressen aus Adressbüchern und gechacheten Webseiten auf dem Benutzersystem, das infiziert wurde und Versendung von infizierten Anhängen an andere Benutzr, die automatisch ausgführt werden, wenn sie geöffnet werden.
  • Verbreitung über Dateifreigaben bei Gastzugriffen, wenn kein Passwort erforderlich ist.
Dieser Wurm wurde als extrem aggresiv bei seinen Skans eingestuft und verbreitet sich laut diversen Warnungen mit enormer Geschwindigkeit.

Signatur
Der Wurm durchsucht System nach verschiedenen Angriffspunkten. Im Folgenden sehen Sie eine Protokolldatei eine Apache-Systems, das aktiv von anderen Seiten durchsucht wird:

"GET /scripts/root.exe?/c+dir HTTP/1.0" 302 209 - - - "-" "-"
"GET /MSADC/root.exe?/c+dir HTTP/1.0" 302 209 - - - "-" "-"
"GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 209 - - - "-" "-"
"GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 209 - - - "-" "-"
"GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 209 - - - "-" "-"
"GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 209 - - - "-" "-"
"GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 209 - - - "-" "-"
"GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 209 - - - "-" "-"
"GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 209 - - - "-" "-"
"GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 209 - - - "-" "-"

Jetzt prüfen
Wenn Sie Ihren Browser auf dem selben System haben, auf dem Ihr Webserver läuft, klicken Sie einfach auf den folgenden Schalter, um festzustellen, ob Ihr Webserver anfällig ist oder bereits vom Nimda Wurm befallen ist.


(Bitte haben Sie Geduld - es dauert etwa 30 Sekunden, den Test auszuführen, bitte warten Sie bis die Seite angezeigt wird!)
Wie kann ich das stoppen?
Wir empfehlen, dass Benutzer Ihre IIS Version auf den neuesten Stand aktualisieren und sich vergewissern, dass alle Sicherheits Patche installiert sind. Benutzer des Internet Explorers sollten sich ebenfalls vergewissern, dass Ihr Browser auf dem aktuellsten Stand ist.

Referenzen
Incidents.org
TruSecure
Symantec
Newsbytes
F-Secure
Sophos


Startseite | Über uns | Kontakt | Partnerprogramme | Developer APIs | Datenschutz | Mailinglisten | Missbrauch
Sicherheits Überprüfungen | Verwaltete DNS | Netzwerk Überwachung | Webseiten Analysator | Internet Recherche Berichte
Web Sonde | Whois

© 1998-2017 E-Soft Inc. Alle Rechte vorbehalten.