Würmer (Worms)

 

Beschreibung/ Sicherheitslücken

Würmer (Worms) sind Programme, die sich durch Sicherheitslücken auf zentralen Systemen oder per E-Mail praktisch selbstständig verbreiten. Auf den infizierten rechnern hinterlegen sie u.a. wieder Code, der zur Weiterverbreitung dient. Häufig werden auch Schadensroutinen (z.B. die Installation einer Backdoor) abgelegt. Die "modernen" Würmer bedienen sich auf der Client-Seite häufig einer (bekannten) Schwachstelle des MS IE und einer Sicherheitslücke in MS Outlook/ Outlook Express. Sie verbreiten sich dann häufig auch noch über per freigegebene Laufwerke. Auf der Serverseite ist der Microsoft IIS durch eine Sicherheitslücke besonders "beliebt".

Zwei Würmer, die mehrere Methoden der Verbreitung nutzen sind der Nimda- und der Klez-Wurm.

Nimda

Der Wurm tritt auf in Form einer MIME "multipart/alternative" Nachricht, bestehend aus zwei Teilen:
Der erste Teil ist vom MIME-Typ "text/html", enthält jedoch keinen weiteren Text, so daß die Mail als leer erscheint. Der zweite Teil ist zwar vom MIME-Typ "audio/x-wav", enthält aber eine ausführbare Datei mit dem Namen "readme.exe", die Base64-kodiert ist.
Auf befallenen PCs werden Laufwerke zum externen Zugriff freigegeben und ein Guest Account mit Administrator-Rechten eingerichtet. Der Wurm durchsucht das Netz nach weiteren freigegebenen Laufwerken, infiziert gefundene .EXE-Dateien auf diesen Laufwerken (Ausnahme Winzip.exe) und kopiert sich als riched20.dll in alle Laufwerke, die .doc oder .eml Dateien enthalten. MS Word, MS Wordpad oder MS Outlook werden somit beim Öffnen dieser Dateien die falsche riched20.dll ausführen.
Weitere Infos über die Verbreitung dieses Wurms und Modifikationen auf befallenen Rechnern finden Sie in einem sehr ausführlichen Sicherheits-Bulletin von DFN-CERT oder in einer Kurzbeschreibung des BSI.

Klez

W32.Klez.E@mm, W32.Klez.H@mm, W32.ElKern.3587, W32.Klez.gen@mm und W32.ElKern.4926 ist ein Massen-E-Mail-Wurm, der sich auch über die Netzwerkfreigabe verbreiten kann. Er führt bei infizierten Geräten Modifikationen durch, die dazu führen, dass beim nächsten Systemstart Virenscanner nicht mehr aktiviert werden.
Weitere Informationen sind in einer Kurzbeschreibung des BSI und bei ZD-Net zu finden.


Bei Fragen und Problemen posten Sie bitte in meinem Internet- und Security-Forum.
In besonderen Fällen erreichen Sie mich auch per E-Mail!
Und bitte vergessen Sie nicht, sich in meinem Gästebuch einzutragen?

Homepage [zurück zur Trojaner-Seite]

(Diese Seite wurde erstellt am 9.5.2002,
der letzte Update fand statt am 9.5.2002)


Dieses Angebot ist erreichbar über http://www.tcp-ip-info.de, http://www.trojaner-und-sicherheit.de, http://www.internet-und-sicherheit.de und http://www.tcp-ip.de.gg