Nimda
Name Nimda
Aliase Concept Virus V.5, Minda
Bekannt seit 2001
Herkunft vmtl. Volksrepublik China
Typ Kombination aus
Netzwerkwurm und Dateivirus
Weitere Klassen E-Mailwurm, Backdoor
Speicherresident ja
Verbreitung Drive-by-Download, E-Mail, Netzwerk,  
IIS und Internet Explorer
Infektion von Programmdateien
System Windows 9x, NT, 2000, ME
Programmiersprache C++

Nimda ist ein Hybrid aus einem Computerwurm und einem Computervirus, dessen erste Version bei seinem Ausbruch am 18. September 2001 weltweit Schäden in Höhe von ca. 2,6 Millarden US-Dollar verursachte. Laut Signatur stammt Nimda aus der Volksrepublik China. Freigesetzt wurde der Wurm vermutlich über südkoreanische Rechner.

Die Besonderheit des Wurms war die Vielzahl an unterschiedlichen Methoden, die integriert waren, um sich auf andere Rechner weiterzuverbreiten. Teile seines Codes hatten die Eigenschaften und das Infektionsverhalten eines Dateivirus. Nimda nutzte auch zahlreiche Sicherheitslücken aus, beispielsweise im Windows-Dienstes Microsoft IIS (Internet Information Server).

Der oder die Autoren des Computerwurms nannten das Programm Concept Virus. Das betonten die Urheber im Programmcode der Variante Nimda-E, die gut einen Monat nach der Originalversion entdeckt wurde, noch einmal ausdrücklich: This’s CV, No Nimda.

Nimda steht rückwärtsgeschrieben für das Wort „Admin“, die geläufige Kurzform von „Administrator“. Wenn sich Nimda über ein IIS-Exploit verbreitet, lautet der Dateiname des Wurms ADMIN.DLL. Außerdem erteilt der Wurm dem Gästekonto Administratorenrechte. Seltener wurde er auch Minda genannt.

Die Hersteller von Antivirusprogrammen verwenden keine einheitliche Nomenklatur und benannten den Computerwurm nach jeweils eigenem System:

Versionen und Derivate

Bearbeiten

In der Folge des ersten Ausbruchs kam es zu zahlreichen Varianten des Wurms. Sie sind meist nur ein wenig modifiziert und enthalten einen anderen Text als die Originalversion. Teilweise stammen sie vom selben Urheber wie die Originalversion Nimda-A, viele wurden aber auch von Dritten erstellt und freigesetzt. Zu den bekanntesten Derivaten gehören unter anderem:[9][1]

  • Nimda-B: Diese Version wurde mit dem Programm PCShrink Win32 komprimiert. Die Dateinamen wurden von README.EXE und README.EML zu PUTA!!.SCR und PUTA!!.EML geändert.
  • Nimda-C: Die Version wurde mit UPX (Ultimate Packer for eXecutables) komprimiert.
  • Nimda-D: Diese Variante tauchte das erste mal gegen Ende Oktober 2001 auf. Sie wurde mit PECompact komprimiert. Die Dateigröße beträgt 27.000 Bytes. Außerdem wurde die Signatur im Code geändert, sie lautet HoloCaust Virus.! V.5.2 by Stephan Fernandez.Spain
  • Nimda-E: Für dieses Derivat wurde ein anderer Compiler verwendet. Der Wurm wurde in vielen Punkten korrigiert und optimiert, enthält aber keine wirklichen Neuerungen. Die E-Variante geriet Ende Oktober 2001 in Umlauf und wurde erstmals in Südkorea entdeckt. Als Dateiname für das Attachment wird SAMPLE.EXE verwendet, die DLL-Dateien heißen HTTPODBC.DLL und COOL.DLL statt wie beim Original ADMIN.DLL Außerdem lautet die Signatur im Programmcode Concept Virus(CV) V.6, Copyright(C)2001, (This’s CV, No Nimda.)
  • Nimda-Q: Eine weitverbreitete Variante von Nimda-E. Die Funktionen sind identisch.
  • Nimda-R: Eine teilweise eingeschränkte Version von Nimda-A. Der Payload ist identisch, die Möglichkeiten der Verbreitung sind aber reduziert.

Funktion

Bearbeiten

Nimda ist ein recht ausgefallene Chimäre aus einem Computerwurm und einem Dateivirus. Das Programm kann sich auf verschiedene Arten replizieren. Nimda ist eine 32-Bit Portable-Executable-Datei mit einer Länge von ca. 57.000 Bytes und wurde in Microsoft C++ geschrieben.

Der Programmcode von Nimda enthält eine Signatur:

Concept Virus(CV) V.5, Copyright(C)2001 R.P.China

Signaturen in Malware sind erfahrungsgemäß keine verlässlichen Angabe, da sie in der Vergangenheit schon mehrfach bewusst als Falsche Flagge genutzt wurden.

Um sich als Attachment einer E-Mail automatisch selbst zu starten, nutzte Nimda ein Exploit. Dadurch konnte das Schadprogramm ohne weiteres Zutun des Users den Rechner infizieren. Der Wurm installiert sich selbst im System und wird speicherresident.

Wenn Nimda ein System infiziert, kopiert sich der Wurm dabei mehrfach selbst in bestimmte Verzeichnisse, EXE-Dateien werden dabei als versteckte Systemdatei angelegt:

  • in das Verzeichnis Windows mit dem Dateinamen MMC.EXE
  • in das Verzeichnis Windows/system mit dem Dateinamen LOAD.EXE und mit dem Namen RICHED20.DLL. Dabei wird die standardmäßig bereits vorhandene RICHED20.DLL-Datei überschrieben.
  • eine weitere Kopie wird in der Datei SYSTEM.INI im Autorun-Abschitt registriert:
 [boot]
 shell = explorer.exe load.exe -dontrunold
  • Im lokalen Temp-Verzeichnis verwendet Nimda einen zufälligen Dateinamen, der mit mep beginnt und mit TMP oder TMP.exe endet (z. B. mep01A2.TMP oder mepE002.TMP.exe)

Ist die Infektion abgeschlossen, startet der Wurm seine Vervielfältigungs-Routinen und der Payload wird ausgeführt. Abhängig von der verwendeten Windows-Version kann Nimda den Prozess explorer.exe ausnutzen und seine eigenen Routinen als Hintergrundprozess (Thread) des Windows-Explorers ausführen.

Verbreitung

Bearbeiten

Nimda konnte sich mit verschiedenen Routinen automatisiert verbreiten:[1]

  • Eine Sicherheitslücke im Windows-Systemdienst IIS wurde ausgenutzt.
  • Nimda konnte Websites modifizieren, um Kopien von sich selbst als Download, bzw. Drive-by-Download zu verbreiten.
  • Die virale Komponente des Schadprogrammes kann ausführbare Dateien infizieren.


  • Der Wurm versandte sich selbst als E-Mail-Anhang. Dabei war Nimda einer der ersten Würmer, der sich selbst aktivierte, ohne dass der Benutzer das Attachment öffnen musste. Um infizierte Nachrichten zu senden, stellte der Wurm eine Verbindunge über das SMTP-Protokoll mit einem Hostcomputer her. Dann sendete er Kopien von sich selbst an die Adresse seines Opfers. Um an E-Mail-Adressen potentieller Opfer zu gelangen, verwendet der Wurm zwei Möglichkeiten. Zum einen wurden HTM- und HTML-Dateien nach Standard-E-Mail-Adressen und ähnlichen Zeichenfolgen durchsucht. Außerdem konnte eine Verbindung über die Schnittstelle MAPI zu MS Exchange-Postfächern hergestellt werden, um dort gespeicherte E-Mail-Adressen auszulesen. Infizierten Nachrichten waren im HTML-Format gespeichert. Die Betreffzeile war entweder leer oder wurde zufallsgeneriert beschrieben. Sie enthielten keinen Text, aber als Anhang die Datei README.EXE



Die Themen werden aus dem Namen einer zufällig ausgewählten Datei aus einem Ordner ausgewählt: Normalerweise ist dies „Eigene Dateien“ oder eine zufällig ausgewählte Datei auf dem Laufwerk C:. Um sich von infizierten Nachrichten zu verbreiten, verwendet der Wurm einen „IFRAME“-Trick; (Die Schwachstelle betrifft einen falschen MIME-Header und kann dazu führen, dass IE E-Mail-Anhang ausführt. Enthält eine HTML-Mail einen ausführbaren Anhang, dessen MIME-Typ fälschlicherweise als einer von mehreren ungewöhnlichen Typen angegeben wird, führt ein Fehler im IE dazu, dass der Anhang ohne Anzeige eines Warndialogs ausgeführt wird. Ein Patch behebt die Schwachstelle, indem er die Tabelle der MIME-Typen und deren zugehörigen Aktionen im IE korrigiert. Dadurch wird verhindert, dass E-Mails automatisch ausführbare Anhänge starten können.


  • Nimda kopiert sich über lokale Netzwerke in freigegebene Windows-Verzeichnisse. Der Wurm scannt alle zugeordnete Remote-Laufwerke auf drei verschiedene Arten und infiziert alle zugänglichen Verzeichnisse darin. Während der Infektion verwendet der Wurm zwei verschiedene Wege. Er erstellt .EML (95% der Zeit) oder .NWS (5%) Dateien mit zufällig ausgewählten Namen. Infolgedessen befinden sich diese EML- und NWS-Dateien überall auf einem infizierten Computer (und im lokalen Netzwerk), und es können Tausende von ihnen sein. Diese Dateien enthalten die Kopie des Wurms in E-Mail-Form. Das E-Mail-Formular ist eine HTML-E-Mail-Nachricht mit der Kopie des Wurms in einem MIME-Umschlag und mit einem IFRAME-Trick wie oben beschrieben. Beim Öffnen infiziert diese Nachricht sofort einen anfälligen Computer. Als alternative Methode zur Infektion kann der Wurm auch nach Kombinationen aus Dateiname und Erweiterung:
*DEFAULT* , *INDEX* , *MAIN* , *README* + .HTML, .HTM, .ASP
(*NAME* bedeutet, dass es sich möglicherweise um eine Teilzeichenfolge im Dateinamen handelt)

Falls eine solche Datei gefunden wird, kopiert sich der Wurm in E-Mail-Form mit dem Namen README.EML dorthin und hängt an die HTM/ASP-Datei des Opfers ein JavaScript-Programm an, das einfach die Datei README.EML öffnet, wenn das HTML/ASP Datei geöffnet wird, wodurch der Wurm aktiviert wird. Infolgedessen infiziert der Wurm Webseiten und kann sich auf Computer ausbreiten, die diese Websites besuchen.

Verbreitung als IIS-Angriff. Um seine Datei auf den Computer des Opfers hochzuladen, verwendet der Wurm einen „tftp“-Befehl und aktiviert einen temporären TFTP-Server auf einem infizierten (aktuellen) Computer, um den „get data“-Befehl vom (entfernten) Computer des Opfers auf genau dieselbe Weise zu verarbeiten wie der {"BlueCode":IISWorm_BlueCode} IIS-Wurm. Der Name der Datei, die auf den Computer eines Opfers hochgeladen wird, lautet ADMIN.DLL.



Nimda verursachte nicht nur Systemüberlastungen und Serverausälle bei seiner rasanten Ausbreitung. Dem Wurm waren auch zwei gezielte Schadfunktion integriert worden:

  • Der Gast-Account wird der Benutzergruppe Administratoren hinzugefügt. Somit hat ein Anwender mit dem ungeschützten Gäste-Konto vollen Systemzugriff mit allen Rechten.
  • Alle lokalen Laufwerke erhalten eine SMTP-Freigabe im LAN.

Schutz und Entfernung

Bearbeiten

Noch am Tag des Ausbruchs, dem 18. September, gab die Antivirenfirma F-Secure ein Update heraus, mit dem Nimda sicher erkannt und entfernt werden konnte. Die anderen Hersteller von IT-Sicherheitssoftware folgten in den nächsten Tagen. Der Einsatz von Antivirusprogrammen war im Jahr 2001 aber noch keine Selbstverständlichkeit, der Großteil der Anwender verzichtete damals noch auf Malwareschutz und Firewall.[10]

Microsoft brachte Hotfixes heraus, die das Exploit im IIS-Dienst behoben. Den Betreibern eines Webservers mit IIS 4.0 unter Windows NT 4.0 wurde dringend geraten das Security Fix Rollup Package und den IIS Security Patch einzuspielen, außerdem sollte das Service Pack 6a installiert werden, sofern noch nicht geschehen. Den Anwendern mit IIS 5.0 mit dem Betriebssystem Windows 2000 Server wurde zum IIS Security Patch und Service Pack 2 geraten.[10]

Des weiteren sollten Endanwender dringend auf den Internet Explorer 5.01 SP2, 5.5 SP2 oder 6.0 updaten, auch wenn ein anderer Standard-Browser wie z. B. der damals beliebte Netscape Communicator eingestellt war. Zusätzlich brachte Microsoft für ältere IE-Versionen einen Sicherheitspatch heraus. Nimda konnte sich bei diesen neuen Versionen nicht mehr automatisiert weiterverbreiten, da die nötigen Exploits nicht mehr vorhanden sind.[10]

Anfällige Systeme dürften mittlerweile kaum mehr betrieben werden.

Pressestimmen

Bearbeiten

In den Zeitungsmeldung vom 19. September, dem Tag nach dem Erstausbruch, wurde eindringlich vor dem neuen Computerwurm gewarnt:

„Seit Dienstag Abend zieht ein neuer Internet-Wurm eine Spur der Verwüstung im Internet: „Nimda“ oder „Minda“. Derzeit gehen Experten davon aus, dass er bereits mehr Rechner als „Code Red“ und „Loveletter“ zusammen infiziert hat. Er nutzt knapp 20 bekannte Sicherheitslücken in Windows-Systemen aus, um sich lawinenartig zu verbreiten und so den Datenaustausch im Internet deutlich zu beeinträchtigen. Bedroht sind sowohl Benutzer von Win9x/NT/2000/ME, die mit dem Internet Explorer surfen wie auch Server, die mit dem IIS laufen.“

PC-Welt[11]

„Mit Nimda ist jetzt ein neuer extrem gefährlicher Wurm im Umlauf, der von den verschiedenen Antivirenherstellern als hoch bedrohlich eingeschätzt wird. Der Wurm wird unter dem Namen W32/Nimda@MM, W32.Minda oder TROJ_Nimda.A geführt und als besonders zerstörerischer Mail-Wurm eingestuft, da er auch von infizierten Web-Servern auf Clients überspringen und so Systeme beim normalen Surfen infizieren kann. Der Computerwurm verbreitet sich weltweit in raschem Tempo über E-Mail, Network Shares oder den Internet Information Server.“

golem.de - IT-News für Profis[12]

„Ein gefährlicher Wurm namens W32.Nimda-A macht derzeit die Runde. Nach Ansicht von Experten ist Nimda aggressiver und gefährlicher als Code Red. Um einen Rechner zu infizieren, reicht der Besuch einer Webseite eines infizierten Webservers (IIS). Durch diese Methode sind selbst vorsichtige Surfer durch Nimda (rückwärts Admin) in Gefahr. Der Wurm befällt laut Symantec den IIS von Microsoft über die Lücke Webserver Folder Traversal, für die Microsoft bereits seit einem Jahr Patches anbietet.“

Tecchannel.de[13]

Einzelnachweise

Bearbeiten
  1. a b c d e f g h malwiki.org Fachwiki-Eintrag zu Nimda
  2. f-secure.com Datenbankeintrag zu Nimda
  3. kaspersky.com Datenbankeintrag zu Nimda
  4. microsoft.com Datenbankeintrag zu Nimda
  5. f-secure.com Datenbankeintrag zu Nimda
  6. sophos.com Datenbankeintrag zu Nimda
  7. nortonlifelockpartner.com Datenbankeintrag zu Nimda
  8. trendmicro.de Datenbankeintrag zu Nimda
  9. threats.kaspersky.com Kaspersky Threats: Net-Worm.Win32.Nimda
  10. a b c trojaner-info.de Analyse Win32/Nimda-Wurm von Andreas Marx (Universität Magdeburg)
  11. pcwelt.de Gefährlicher als Code Red: Nimda-Wurm schlägt zu
  12. golem.de Nimda - Gefährlicher Wurm attackiert Surfer
  13. Tec Channel Nimda – gefährlicher Wurm verbreitet sich rasant, 19. September 2001
Bearbeiten
  • Sueddeutsche: Nimda: Heimtückischer Wurm flitzt durchs Internet von Susanne Herda, 17. Mai 2010
  • Heise Schutzmaßnahmen gegen den Nimda-Wurm von Jürgen Schmidt, 18. September 2001
  • pcgames.de Virus-Alarm: So wird man Nimda wieder los! von Markus Wollny, 12.11.2001


Kategorie:Schadprogramm Kategorie:Computerwurm Kategorie:Computervirus Kategorie:Dateivirus