Keine Angst vor Nimda: So können Sie sich schützen

Nimda kann Rechner beim Surfen befallen, aktiviert sich in einigen E-Mail-Programmen bereits, ohne dass der Benutzer einen Anhang öffnet, und verbreitet sich in LANs ohne jegliches Zutun von Anwendern. Trotzdem gibt es Mittel und Wege, sich vor dem raffinierten Virus zu schützen.

Von einem unbemerkten Befall per Web-Browser sind nach letzten Erkenntnissen ausschließlich Surfer bedroht, die den Internet Explorer 5.x unter Windows benutzen. Frühere Versionen kommen mit dem verwendeten JavaScript-Code nicht klar und erzeugen beim Besuch einer infizierten WWW-Seite eine Fehlermeldung. Von Microsoft gibt es das Service Pack 2 für den Internet Explorer 5.0 beziehungsweise für den Internet Explorer 5.5, das zumindest einen unbemerkten Befall verhindert. Nach der Installation fragt der Browser beim Besuch einer kompromittierten Webseite wenigstens um Erlaubnis, bevor er den Virus ausführt. So verhält sich auch der Internet Explorer 6.0. Weitere Hinweise, auch für Administratoren von Web-Servern, gibt es seit kurzem auch im Microsoft TechNet.

Selbst nach der Installation eines "sicheren" Browsers empfiehlt es sich, besonders aufmerksam auf dessen Nachfragen zu reagieren: Wenn er eine Bestätigung für das Herunterladen, Öffnen oder Installieren einer Datei einholt, die man eigentlich auf der aktuellen Seite nicht erwartet hätte, sollte man im Zweifel ablehnen. Ob die aktuellen Sicherheitseinstellungen in Ihrem Browser gegen einen Nimda-Befall ausreichend sind, können Sie mit dem c't-Browser-Check überprüfen. Wir haben eine Testseite eingerichtet, die mit denselben Tricks wie Nimda arbeitet, aber dabei nur ein harmloses Programm startet, ohne Ihren Rechner zu infizieren.

Beim Lesen von E-Mail kann der PC infiziert werden, wenn das Mail-Programm zum Anzeigen den Internet Explorer verwendet. Zu den Mail-Programmen, die sich so verhalten, gehören neben Microsoft Outlook und Outlook Express auch Programme wie Eudora, Lotus Notes und AK-Mail. Gegen diese Art des Befalls hilft ebenfalls ein Update des Microsoft-Browsers. Wer den schon eingespielt hat oder ein anderes E-Mail-Programm einsetzt, ist allerdings nur vor einem unbemerkten Befall geschützt – gegen eine Infektion durch absichtliches Öffnen eines Nimda-Attachments helfen diese Maßnahmen nicht. Die Sicherheit Ihres E-Mail-Clients können Sie mit dem c't-E-Mail-Check testen.

Die in E-Mails mit Nimda-Attachment angegebene Absenderadresse beweist übrigens nicht, dass der betreffende Rechner von dem Virus befallen ist. Der Schädling ist raffiniert genug, sich auch falscher Absenderadressen zu bedienen.

Bei der Verbreitung über ein lokales Netzwerk nutzt Nimda freigegebene Platten und Ordner. Um diese Gefahr zu minimieren, sollte man überprüfen, ob die eventuell vorhandenen Freigaben wirklich nötig sind, und sie im Zweifel beenden oder die Rechte anderer Benutzer auf das Lesen von Dateien beschränken. Eine Liste der aktuellen Freigaben liefert der Netzwerkmonitor, der bei Windows im Lieferumfang enthalten ist. Windows 9x und ME installieren ihn standardmäßig nicht mit, er lässt sich aber über das Symbol Software aus der Systemsteuerung nachrüsten und erscheint dann unter Start / Programme / Zubehör / Systemprogramme. Unter Windows 2000 und XP findet sich eine entsprechende Liste in der Computerverwaltung unter System / Freigegebene Ordner / Freigaben.

Ob Ihr Rechner bereits von Nimda befallen ist, können Sie am einfachsten überprüfen, indem Sie in Ihrem Windows-Verzeichnis nach einer 57 344 Bytes großen Datei namens load.exe suchen. Wenn diese vorhanden ist, sollten Sie Ihren Rechner zuallererst vom Netz trennen, damit Sie nicht zu der weiteren Verbreitung beitragen. Hinweise zum Entfernen des Virus halten mittlerweile sämtliche Hersteller gängiger Virenschutzprogramme auf ihren Webseiten bereit. Dort finden Sie auch aktualisierte Dateien für Ihr Antivirusprogramm, mit dem Sie den Rechner einer eingehenden Prüfung unterziehen können. Sollten Sie noch kein derartiges Programm im Einsatz haben, empfiehlt sich der Download einer kostenlosen Software wie der AntiVir Personal Edition oder der DOS-Version von F-Prot. Eine Liste mit weiteren Herstellern von Antivirenprogrammen finden Sie auf der Virenschutz-Seite der c't. (hos)