Nimda: Es hätte schlimmer kommen können
Dass Nimda nicht gleich das ganze Netz lahmlegte, ist seinem Vorgänger Code Red zu verdanken.
So makaber es klingt: Code Red hat uns vor Schlimmerem bewahrt! Der IIS-Wurm hatte über eine Millionen Webserver befallen. Die bei der Desinfektion eingespielten Patches machten die Server immun gegen die Angriffe von Nimda. Auch dürfte das Medienecho auf Code Red viele IIS-Administratoren dazu bewogen haben, endlich die überfälligen Sicherheits-Patches einzuspielen.
Noch immer ist unklar, wie weit Nimda sich hat verbreiten können. Während in amerikanischen Medien die Zahl der infizierten Server mit rund 2,2 Millionen angeben und die Höhe des dadurch bisher verursachten Schadens auf 530 Millionen Dollar geschätzt wird, sind deutsche Experten vorsichtiger. Michael Dickopf, Pressesprecher des Bundesamtes für Sicherheit in der Informationstechnik (BSI), sieht sich außer Stande, eine seriöse Schätzung abzugeben. Er vermutet jedoch, dass die Verbreitung von Nimda mittlerweile schon wieder rückläufig ist. Stefan Grosse, Referent für Sicherheitsfragen beim IT-Branchenverband BITKOM, äußerte sich gegenüber heise online ähnlich.
Andreas Marx, Mitarbeiter des Virentestcenters der Universität Magdeburg, führt den glimpflichen Ablauf vor allem darauf zurück, dass die Administratoren die Virenerkennung der Mailserver aktualisiert und Webserver mit den nötigen Patches versehen haben. Länger wird es nach Marx' Einschätzung allerdings dauern, bis auch alle PCs wieder "gesäubert" sind. Die eigentliche Gefahr für PC-Benutzer bestehe nicht darin, dass das Programm durch seine Verbreitung nach und nach die anderen Anwendungen auf der Festplatte unbrauchbar macht. Das größte Risiko gehe davon aus, dass das Programm die Verzeichnisse auf Windows-PCs für Netzwerkzugriffe öffnet. Dadurch kann jeder über das Netz auf Dateien zugreifen, sie lesen und löschen.
Auf Windows 2000 und NT-Systemen richtet Nimda außerdem einen Gast-Account mit Administratorrechten ein. Über diesen Account können sich Angreifer auch über das Internet auf den Rechner anmelden und dort beliebige Programme ausführen. Während die meisten AntiViren-Programme zwar infizierte Anwendungen "säubern" oder von der Festplatte löschen, bleiben die durch Nimda geöffneten Sicherheitslücken bestehen. (chk)
