Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-487

[MS/IIS] Entfernung des Nimda-Wurmes
(2001-09-21 13:53:51+00) Druckversion

Quelle: http://www.counterpane.com/alert-nimda-recovery.html

Wegen einiger Aspekte des Nimda-Wurmes gestaltet sich das Entfernen des Nimda-Wurmes von einem betroffenen System äußerst schwierig.

Counterpane nennt drei Methoden, das System in einen nicht kompromittierten Zustand zurückzuführen (vor Beginn und während der Maßnahmen sind die Maschinen selbstverständlich komplett vom Netz zu trennen):

  1. Komplettes Löschen aller Daten, Neuinstallation des Systems von Herstellermedien, Einspielen der Sicherheitspatches, Rückspielen der Daten von einem intakten Backup. Dieser Weg ist mit dem geringsten Risiko eines erneuten Befalls verbunden und daher in den meisten Fällen das Mittel der Wahl.
  2. Komplettes Löschen aller Daten, Rückspielen des kompletten Systems von einem intakten Backup, Einspielen der Sicherheitspatches. Falls eine garantiert unkompromittierte Datensicherung des Systems (Programme und Daten) existiert, kann auf diese Weise etwas Zeit gespart werden. Es muß sichergestellt werden, daß das Backup nicht bereits eine Code-Red-II-Infektion enthält. Daher gibt es immer noch das Restrisiko, daß das System auch nach der Wiederherstellung Hintertüren enthält.
  3. Manuelles Entfernen des Wurmes aus dem laufenden System. Dies ist der aufwendigste und riskanteteste Weg, der nur beschritten werden sollte, falls keine Backups existieren. Er erfordert erhebliche Kenntnisse über das System und zahlreiche systemspezifische Einzelmaßnahmen. Fehlendes Wissen in diesem Bereich kann sicherlich nicht vollständig durch den Einsatz von Werkzeugen der Antivirenhersteller kompensiert werden. Wegen der ganz erheblichen Gefahr, bei dieser Wiederherstellungsprozedur etwas zu übersehen, sollte diese Maßnahme nur im alleräußersten Notfall durchgeführt werden. (Wegen der ausgesprochenen Systemabhängigkeit der Maßnahme ist es gefährlich, sich hierbei auf vorgefertigte Kochrezepte zu verlassen. Entsprechende Checklisten sind daher mit vorsicht zu genießen.)
Diese Maßnahmen beziehen sich gleichermaßen auf Server- wie Clientsysteme, auch wenn auf reinen Client-Systemen (ohne aktivierten IIS) die Gefahr eines Code-Red-II-befallenen Backups natürlich nicht vorhanden ist. Auf Client-Systemen können Antiviren-Werkzeuge noch am ehesten Erfolg haben; sie können als Ad-Hoc-Maßnahme eingesetzt werden, die ermöglicht, daß die meisten Mitarbeiter weiter an ihren Rechnern arbeiten können, während die Rechner nach und mit dem ersten oder zweiten Verfahren in einen sicher nicht befallenen Zustand überführt werden.

Zur Abschließenden Überprüfung auf eventuelle Rückstände kann eine Überprüfung mit einem aktuellen Virenscanner erfolgen.

Warum kein Antiviren-Werkzeug zur Entfernung?

Wer sich auf die Werkzeuge der Antiviren-Hersteller verläßt, geht unter Umständen ganz erhebliche Risiken ein: Der Nimda-Wurm öffnete mehrere Hintertüren (Gast-Account mit Administratorenrechten, Laufwerksfreigaben). Schon bald nach der ersten Verbreitung des Wurmes war ein Anstieg an SMB-Verkehr in den Netzen zu beobachten; möglicherweise haben Trittbrettfahrer befallene Systeme mit weiteren Zugriffsmöglichkeiten versehen, die von den automatischen Werkzeugen zur Entfernung des Wurmes nicht erkannt werden. Angreifer können auch wichtige Dokumente in subtiler Weise verändert haben; das kann kein Antivirenprogramm erkennen.

Hinzu kommt, daß sich der Wurm sehr tief in das System eingräbt und auch Programmdateien befällt, die im Normalbetrieb gar nicht beschreibbar sind und daher für Antivirenprogramme nur schwer in den Ausgangszustand zu versetzen sind. Teilweise treten Effekte einen, bei denen das Betriebssystem die Entfernung von Bestandteilen des Wurmes verhindert: durch eine Selbstschutzfunktion, die entseuchte Programmdateien wieder durch vom Wurm installierte kompromittierte Fassungen erstetzt, oder durch.

Darüberhinaus wurden alle Werkzeuge mit heißer Nadel gestrickt, teilweise gar als wesentliche Dinge über den Nimda-Wurm noch nicht bekannt waren. Manche Versionen übersehen daher Änderungen, die der Wurm vornahm, und lassen daher noch Hintertüren offen. Der spätere Einsatz eines verbesserten Werkzeuges führt nach einer teilweisen Entfernung unter Umständen dazu, daß die Überbleibsel nicht gefunden werden und das System als sauber eingestuft wird. Schlußendlich sind manche Werkzeuge zum Entfernen des Wurmes nicht gerade zimperlich, was einige Systemeinstellungen angeht: sie entfernen alle Netzfreigaben, nicht nur die, die der Wurm angelegt hat. Es ist daher in jedem Fall mit erheblicher Handarbeit zu rechnen.

(fw)

Weitere Artikel zu diesem Thema:

  • [HP, Lexmark/Drucker] DoS-Anfälligkeit im Zuge von Nimda (2001-09-21)
    Im Zuge der zahlreichen HTTP-Requests, die im Gefolge des Nimda-Wurmes auftauchten, stellte sich heraus, daß einige Drucker für DoS-Angriffe anfällig sind.
  • [MS/Generic, IIS] Neuer Wurm nutzt mehrere Schwachstellen zur Verbreitung aus (Update) (2001-09-18)
    Ein Wurm namens Nimda nutzt scheinbar mehrere Schwachstellen von Microsoft Windows zur Verbreitung aus. Neben mehreren Schwachstellen des IIS-Webservers findet eine Verbreitung über ein E-Mail-Attachment (README.EXE) statt. Ferner werden durch manipulierte Webseiten (die mit einer readme.eml ersetzt wurden) Systeme mit ungepachtem Internet Explorer, bei dem Besuch der Webseite mit dem Internet Explorer, infiziert.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.