Nimda: ziemlich Unklar

Oliver_6f24e9 · 21. September 2001 um 15:52

Hallo Zusammen,

stimmt es, daß Nimda schon durch das Ausführen von Codes in e-mail und HTML-sites (also ohne öffnen des Mailattachments) auf den Rechner gelangen kann? Mit letzerem meine ich nicht den Massenmailversand von Outlook aus (das ist meines Wissens durch solche Codes ja tatsächlich möglich), sondern ich meine damit, daß das Virus tatsächlich auf die Festplatte gespeichert wird, also Dateien gezielt verändert und u.a. das File-Sharing aktiviert.

Ich habe auf den betreffenden Websites nur schwammige Informationen hierüber gefunden… Ist aber m.E. die entscheidende Frage!

bin ja mal gespannt…

Oliver

Frank_K_9482dc · 21. September 2001 um 19:23

Hi Oliver

stimmt es, daß Nimda schon durch das Ausführen von Codes in
e-mail und HTML-sites (also ohne öffnen des
Mailattachments) auf den Rechner gelangen kann? Mit letzerem

Ja, je nach Browser kann genau das passieren. Kritisch ist da aber wohl nur der IE ab Version 5 aufwärts. Und dann auch nur, wenn du die Sicherheitseinstellungen nicht auf ‚höchste‘ gestellt hast (Achtung: auch bei ‚vertrauenswürde Seiten‘).
Microsoft soll aber inzwischen wohl auch entsprechende Patches zur Verfügung gestellt haben.

Gruß
Frank K.

Anonym · 22. September 2001 um 15:34

Moin,

zur Sicherheit solltest Du in Deinem Browser das Active Scripting abschalten. Weiterhin ist ein Virenscanner wichtig, der im Hintergrund alle Dateien prüft und Nimda bereits kennt. Meine Empfehlung: AntiVir, gratis als Personal Edition unter http://www.free-av.de und imho wirklich gut.

Ciao
Mathias

Anonym · 22. September 2001 um 21:23

Hallo,

auf die Festplatte gespeichert wird, also Dateien gezielt
verändert und u.a. das File-Sharing aktiviert.

jawollja…das macht er der herr „admin“…ich habe hier ca alle 3 sekunden anfragen auf meinem apache (unter linux)…wenn ich dann mal die ip zurueckverfolge kann ich im nu alle vorhandenen freigaben sehen…und koennte demnach auch auf einige direkt zugreifen…

gruss,
uwe

Anonym · 22. September 2001 um 22:03

jawollja…das macht er der herr „admin“…ich habe hier ca
alle 3 sekunden anfragen auf meinem apache (unter
linux)…wenn ich dann mal die ip zurueckverfolge kann ich im
nu alle vorhandenen freigaben sehen…und koennte demnach auch
auf einige direkt zugreifen…

Nicht nur das. Wenn du selbst ein NT-System betreibst, kommst du sogar auf die versteckten (administrativen) Freigaben, die es dir ermöglichen, vollständige Kontrolle über den befallenen Rechner zu übernehmen. Mit welchem Benutzernamen und Passwort will ich hier mal nicht verraten, aber mit ein bisschen Phantasie hat man’s gleich raus. Ist immer das gleiche.

Ein paar angreifenden PC bin ich mal hinterhergestiegen. Schlecht ist mir geworden, als ich von der Explosion in Toulouse gehört hab, eine Stunde vorher war ich auf einem Server einer ägyptischen Chemiefabrik. Dieser wiederum war per Irma-Karte an eine MVS-Maschine angeschlossen, die Zugangsdaten lagen offen herum. Vielleicht hätte ich den Server gleich plattmachen sollen, ich habe mich aber damit begnügt, dem Administrator einen fetten Warnhinweis auf den Desktop zu setzen.

Anonym · 23. September 2001 um 02:38

Mit welchem Benutzernamen und Passwort
will ich hier mal nicht verraten, aber mit ein bisschen
Phantasie hat man’s gleich raus. Ist immer das gleiche.

is wohl auch besser so

Ein paar angreifenden PC bin ich mal hinterhergestiegen.
Schlecht ist mir geworden, als ich von der Explosion in
Toulouse gehört hab, eine Stunde vorher war ich auf einem
Server einer ägyptischen Chemiefabrik. Dieser wiederum war per
Irma-Karte an eine MVS-Maschine angeschlossen, die
Zugangsdaten lagen offen herum. Vielleicht hätte ich
den Server gleich plattmachen sollen, ich habe mich
aber damit begnügt, dem Administrator einen fetten Warnhinweis
auf den Desktop zu setzen.

siehst du…genau da liegt irgendwie mein prob…ich bin mit sicherheit keiner, der in einem netz was zerstoeren will…aber tatsache ist doch, das ich mich, wenn ich sowas mache, strafbar mache…auch wenn ich es nur gut meine…also …wie soll man reagieren ?
was glaubst du , was diese aegyptische chemiefabrik macht ?
wahrscheinlich doch nix…und warum ? weil tausende von irgendwelchen script kiddys nur schabernack treiben !!!

gruss,
uwe

Oliver_6f24e9 · 23. September 2001 um 12:25

Hallo Uwe,

ich verstehe das immer noch nicht so ganz… es gibt doch in den Script-Sprachen eigentlich gar keine Befehle, um Dateien zu verändern oder Dateifreigaben zu modifizieren. Zwar kann man, sowiet ich weiß, über Java bereits auf der Festplatte vorhandene Dateien starten, aber man muß ja zuvor dem Download dieser Datei zugestimmt haben.

Schonmal Danke für jede Erklärung!

Oliver

Markus_Bradtke · 23. September 2001 um 15:50

Hallo Oliver!

ich verstehe das immer noch nicht so ganz… es gibt doch in
den Script-Sprachen eigentlich gar keine Befehle, um Dateien
zu verändern oder Dateifreigaben zu modifizieren.

Bei VBScript wäre ich mir da nicht einmal so sicher, aber abgesehen davon, muß es keine Script-Sprache sein (s.u.).

Meist werden Änderungen wie die Freigaben auch nicht über vorhandene Funktionen ausgeführt, sondern direkt in die Registry geschrieben.

Zwar kann
man, sowiet ich weiß, über Java bereits auf der Festplatte
vorhandene Dateien starten, aber man muß ja zuvor dem Download
dieser Datei zugestimmt haben.

Der Bug entsteht wie folgt:
Der IE lädt eine präparierte Seite. Diese enthält ein Objekt, das vom Typ her harmlos ist (z.B. wave/x-audio). Diese eingebettete Wave-Datei wird nun im Cache gespeichert (Temporary Internet Files). Um die Datei abzuspielen, öffnet MS jedoch nicht etwa den Player und gibt die Datei an, sondern startet quasi die Datei direkt. Der Windows-übliche Mechanismus findet nun die mit der Datei(-endung) verknüpfte Anwendung und verwendet diese zum Abspielen.
Beim Einbinden des Objekts in die HTML Seite kann unabhängig vom (vorgetäuschten) Typ jedoch ein Name spezifiziert werden (z.B. Böses_Programm.exe). Das hat zur Folge, daß die Datei ausgeführt wird - in der Absicht, eigentlich den Inhalt anzuzeigen, bzw. in diesem Fall die Wave-Datei abzuspielen.

CU
Markus

Oliver_6f24e9 · 23. September 2001 um 17:00

Hallo Markus,

danke für die gute Erklärung. Der Knackpunkt ist also, daß ausführbarer Programmcode als Datendatei getarnt wird, beim Aufruf jedoch wird die Datei jedoch nicht als Mediadatei mit dem Mediaplayer, sondern wie ausführbarer Code behandelt (wenn ich das jetzt richtig verstanden habe).

Das heißt: Mit ein paar gar nicht so schweren Kniffen kann jeder auf jedem anderen Rechner beliebige Programme laufen lassen. Mannomann!

nochmals danke,

Oliver

P.S.: Geht das prinzipiell mit jedem Betriebssystem/Browser oder nur mit IE 5 und Windows?

Anonym · 24. September 2001 um 00:18

sorry…ging nicht eher
hi Oliver,

das problem ist doch hier bei diesem wurm, das er sich ueber,ich glaube gehoert zu haben 9!!! verschiedene wege bei einem einisten kann…

es ist also dadurch auch nicht auf den browser beschraenkt…
er befaellt ja auch wahllos webserver…

ich sagte ja schon: bei mir versucht er staendig die cmd.exe zu finden…( duerfte schwer werden auf nem linux apache *gg* )
wenn er die denn finden wuerde, wird er sicherlich auf primitivster kommandozeilen-ebene aggieren…aber das sit jetz nur eine vermutung von mir…man muesste sich das ding hoechsten mal absichtlich einfangen…

zudem kommt er noch mit der anfrage nach einer root.exe, dazu weiss ich nicht, hab ich noch nie gehoert… und eine default.ida sucht er noch…ist mir leider auch kein begriff…

ich habe heute mittag mal einen server der mir diese anfragen stellte zurueckgescannt…seltsamerweise sind die alle bei t-offline, das geraet war offen wie ein scheunentor…(zumal laecherliche weise nicht mal ein admin passwort gesetzt war).

das finde ich dann schon erschreckend…man haette ohne probleme daten klauen/loeschen koennen.

gruss,
uwe

Markus_Bradtke · 24. September 2001 um 09:59

Hallo Oliver!

danke für die gute Erklärung. Der Knackpunkt ist also, daß
ausführbarer Programmcode als Datendatei getarnt wird, beim
Aufruf jedoch wird die Datei jedoch nicht als Mediadatei mit
dem Mediaplayer, sondern wie ausführbarer Code behandelt (wenn
ich das jetzt richtig verstanden habe).

Genau so ist es.

Das heißt: Mit ein paar gar nicht so schweren Kniffen kann
jeder auf jedem anderen Rechner beliebige Programme laufen
lassen. Mannomann!

So ist es! Der Bug ist schon sein Monaten bekannt und entsprechende Patches verfügbar. Aber, was hilft das, wenn sie nicht eingespielt werden…

P.S.: Geht das prinzipiell mit jedem Betriebssystem/Browser
oder nur mit IE 5 und Windows?

Dieses spezielle Problem taucht nur unter Windows (95, 98, Me, NT4, 2000) auf. Der Binärcode würde auf einem anderen Betriebssystem auch nicht ausführbar sein.

Was den Browser angeht, so beschränkt sich das Problem auf den Internet Explorer 5.0 und 5.01. Das heißt aber nicht, daß Du sicher bist, wenn Du nur einen anderen Browser verwendest. Viele eMail-Programme benutzen den Internet Explorer zum Anzeigen von HTML-Mails. Auch hier müßte man (sofern möglich) einen alternativen Viewer einstellen.

Abgesehen davon verbreitet sich Nimda auch als einfacher Dateivirus, indem er weitere exe-Dateien auf einem System infiziert.

Auch über ein lokales Netz verbreitet sich Nimda, indem er eine DLL in Verzeichnisse mit DOC- oder EML-Dateien kopiert.
Dies ist - zumindest im Falle der DOC-Dateien - unabhängig vom Internet Explorer.

Was den normalen User kaum betrifft ist die Möglichkeit, den MS Internet Information Server zu infizieren. Denkbar ist jedoch, daß der Virus so auf den Webserver gerät und sich über das LAN ausbreitet. Dafür würde der Webserver jedoch Schreibzugriffe auf Netzwerklaufwerke benötigen.

Quelle:
http://www.f-secure.com/v-descs/nimda.shtml

CU
Markus