Tools:   Web Probe  |  World-Wide WHOIS  |  Trace Route  |  Nimda Self Test  |  Code Red Self Test  |  W32.Bugbear
Nimda Selbsttest

Was ist der Nimda Wurm?
Der Nimda Wurm ist auch als w32.Nimda.A@mm, Code Rainbow, Minda, Nimbda bekannt und ist ein selbst-vervielfältigendes Stück Software, das IIS Webserver und Benutzer des Internet Explorer 5 infiziert. Er wurde zuerst am Dienstag dem 18ten September gegen 9 Uhr morgens festgestellt. Der Wurm verbreitet sich auf mindestens 4 verschiedenen Wegen:

Dieser Wurm wurde als extrem aggresiv bei seinen Skans eingestuft und verbreitet sich laut diversen Warnungen mit enormer Geschwindigkeit.

Signatur
Der Wurm durchsucht System nach verschiedenen Angriffspunkten. Im Folgenden sehen Sie eine Protokolldatei eine Apache-Systems, das aktiv von anderen Seiten durchsucht wird:

"GET /scripts/root.exe?/c+dir HTTP/1.0" 302 209 - - - "-" "-"
"GET /MSADC/root.exe?/c+dir HTTP/1.0" 302 209 - - - "-" "-"
"GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 209 - - - "-" "-"
"GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 209 - - - "-" "-"
"GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 209 - - - "-" "-"
"GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 209 - - - "-" "-"
"GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 209 - - - "-" "-"
"GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 209 - - - "-" "-"
"GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 209 - - - "-" "-"
"GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 209 - - - "-" "-"

Jetzt prüfen
Wenn Sie Ihren Browser auf dem selben System haben, auf dem Ihr Webserver läuft, klicken Sie einfach auf den folgenden Schalter, um festzustellen, ob Ihr Webserver anfällig ist oder bereits vom Nimda Wurm befallen ist.


(Bitte haben Sie Geduld - es dauert etwa 30 Sekunden, den Test auszuführen, bitte warten Sie bis die Seite angezeigt wird!)
Wie kann ich das stoppen?
Wir empfehlen, dass Benutzer Ihre IIS Version auf den neuesten Stand aktualisieren und sich vergewissern, dass alle Sicherheits Patche installiert sind. Benutzer des Internet Explorers sollten sich ebenfalls vergewissern, dass Ihr Browser auf dem aktuellsten Stand ist.

Referenzen
Incidents.org
TruSecure
Symantec
Newsbytes
F-Secure
Sophos



© 1998-2024 E-Soft Inc. Alle Rechte vorbehalten.