„Zehntausende Nimda-Infektionen in Europa“

Gestern zog der malicious code „Nimda“ in Europa ab dem späten Nachmittag eine Spur der Verwüstung durch die Netzwerke von Unternehmen und Behörden: Die Hersteller von Antiviren-Software sehen sich mit einer vollkommen neuen Bedrohung konfrontiert, da die Software hochkomplex, stark verschlüsselt und polymorph ist: Der „Virus“ kennt alleine 16 verschiedene Möglichkeiten, den Internet Information Server (IIS) von Microsoft (Börse Frankfurt: MSF) anzugreifen, verbreitet sich darüber hinaus per Mail und über das Netzwerk und hat die Fähigkeiten eines Massenmailers.

„Mir ist nicht bekannt, dass es jetzt, nach zwölf Stunden, einem Hersteller von Antiviren-Software gelungen wäre, Nimda vollständig zu analysieren“, erklärte der Geschäftsführer von Trend Micro Deutschland, Raimund Genes, gegenüber ZDNet. Das ist auch der Grund dafür, warum die bisherigen Virendefinitionen relativ schwammig klingen und sich ständig ändern.

Nach seinen Angaben haben die unbekannten Virenautoren für Nimda Teile der bereits bekannten Würmer Code Red und Code Blue kombiniert und den bereits mit MagistrA verbreiteten eigenen SMTP-Client zweitverwertet. „Ich glaube auch nicht, dass es sich dabei um Einzelpersonen handelt, denn der Code ist sehr komplex und es würde für einen alleine sehr lange dauern, etwas wie Nimda zu schreiben.“

Die Zahl der in Europa betroffenen Unternehmen geht nach Angaben von Genes in die zehntausende. „Das Problem ist, dass sich der malicious code auch über das Netzwerk verbreitet. Das heißt, der Administrator muss zunächst einmal alle Verbindungen zur Außenwelt kappen und dann das gesamte System scannen. Wenn er nach dem Neustart der Server aber ein Exemplar von Nimda übersehen hat, geht die Infektionskette wieder von vorne los.

Dem Normaluser rät Genes, die Sicherheitseinstellungen des Browsers auf „Hoch“ zu setzen und die Vorschau im Mail-Programm auszuschalten. „Nimda wird bereits in der Preview ausgeführt“, so der Antiviren-Spezialist.

Die hohe Anzahl der Infektionen führte laut Genes auch zu einem sehr großen Produktivitätsverlust. Offensichtlich war genau das das Ziel der unbekannten Autoren: „Es gibt zwar für jedes der 16 Sicherheitslöcher, die bei IIS angegriffen werden, einen Patch. Aber vor allem in Amerika gibt es viele kleine Unternehmen, deren Webauftritt irgendwann mal aufgesetzt wurde, die ihren Content ändern können, aber sich nicht groß um das System kümmern. Die sind natürlich verwundbar“, sagte der Antiviren-Experte. Dass Outlook XP bereits höhere Sicherheitsvorkehrung als die Vorgängerversionen hat, ist nach Ansicht der Antiviren-Experten der Grund, dass die Cyber-Vandalen ihrer Kreation einen eigenen SMTP-Client beigepackt haben.

Nimda wird die Welt der Antiviren-Software stark verändern: „Spätestens jetzt muss jedem klar sein, dass es nicht mehr genügt, im Kaufhaus fünf Antiviren-Einzelplatzlizenzen zu kaufen, um ein Unternehmen zu schützen“, so Genes. „Die Bedrohung wird immer komplexer und darauf müssen wir reagieren. Wir arbeiten bereits an einer zentral verwalteten Lösung, die das gesamte Netzwerk beim Schutz vor malicious code mit einbezieht und nicht mehr nur einzelne Aspekte wie das Gateway herausgreift. Außerdem fragen uns unsere Kunden nach push-services, bei denen sie die neuesten Viren-Definitionen gleich in ihr Netzwerk übertragen bekommen.“

Kontakt:
Trend Micro, Tel.: 089/37479700 (günstigsten Tarif anzeigen)