Gefährlicher neuer Virus im Umlauf (Update)

Zurzeit verbreitet sich ein neuer Mail-Wurm mit beunruhigender Geschwindigkeit im Internet. Der Schädling, den Kaspersky Labs vorläufig "Nimda" getauft hat, verbreitet sich nicht nur wie SirCam über einen eigenen SMTP-Server, sondern nutzt zudem noch verschiedene Sicherheitslücken aus. Es besteht der Verdacht, dass Nimda auch Web-Server befällt und dort infizierte Dateien hinterlegt, die allein beim Betrachten der Seite über den Windows Media Player ausgeführt werden. Konkrete Informationen über die zugrundeliegenden Mechanismen liegen noch nicht vor.

Die infizierten Mails tragen wechselnde Betreffszeilen und enthalten häufig ein Attachement mit dem Mime-Typ Audio/WAV, hinter dem sich EXE- oder DOC-Dateien verstecken. Unter Umständen genügt es bereits, die Mail lediglich mit Outlook Express anzusehen, um den Media Player zu starten und damit den Rechner zu infizieren. Neben der Mail-Verbreitung setzt Nimda unter anderem auf die von Code Red eingepflanzten Hintertüren, um neue Systeme zu infizieren. Erste Analysen zeigen auch, dass der Schädling unter anderem eine Hintertür in Windows NT/2000-Rechnern aktiviert, indem er einen Gast-Account mit Administrator-Rechten anlegt.

Der nach ersten Beobachtungen aufgetretene Verdacht, dass Nimda auch Macintosh-Rechner befallen kann, hat sich nicht erhärtet. Nach aktuellem Kentnissstand erscheint es sehr unwahrscheinlich, dass der Schädling auf Nicht-Windows-Systemen aktiv werden kann.

Die Hersteller von Antiviren-Software arbeiten mit Hochdruck an der Analyse. Wir werden alle weiteren Erkenntnisse unverzüglich auf heise online veröffentlichen. Erste Empfehlungen für Schutzmaßnahmen finden Sie hier. (pab)