Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-480

[MS/Generic, IIS] Neuer Wurm nutzt mehrere Schwachstellen zur Verbreitung aus (Update)
(2001-09-18 17:56:30+00)


Ein Wurm namens Nimda nutzt scheinbar mehrere Schwachstellen von Microsoft Windows zur Verbreitung aus. Neben mehreren Schwachstellen des IIS-Webservers findet eine Verbreitung über ein E-Mail-Attachment (README.EXE) statt. Ferner werden durch manipulierte Webseiten (die mit einer readme.eml ersetzt wurden) Systeme mit ungepachtem Internet Explorer, bei dem Besuch der Webseite mit dem Internet Explorer, infiziert.

Betroffene Systeme

Einfallstor

Auswirkung
Nach dem derzeitigen Stand der Analyse sind folgende Auswirkungen sehr wahrscheinlich:

Typ der Verwundbarkeit
design flaw

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Offenbar verbreitet sich ein neuer Wurm, der mehrere bereits bekannte Schwachstellen im IIS Webserver sowie dem Internet Explorer zur Verbreitung ausnutzt.

Im Binärcode des Wurms befindet sich folgender Hinweis:

Concept Virus(CV) V.5, Copyright(C)2001  R.P.China
Der Wurm scheint einen eigenen SMTP-Client zur Weiterverbreitung mittels E-Mail-Attachments, wie sie z. B. auch der SirCam-Wurm benutzt, zu verwenden. Dabei wird der Wurm über ein Attachment (Mime-Typ audio/x-wav) mit dem Namen README.EXE versandt. Mailclients (wie Outlook (Express)), die auf den Internet Explorer zur Darstellung von HTML E-Mails zurückgreifen, führen das Attachment unmittelbar bei der Betrachtung der Mail aus, falls das unter [MS/IE/Outlook] Schwachstelle bei der Verarbeitung von falschen MIME Types beschriebene Sicherheitsupdate nicht installiert wurde.

Die Schwachstelle des Internet Explorers bei der Verarbeitung von falschen MIME Types wird von dem Wurm auch bei der Betrachtung von arglistigen Webseiten ausgenutzt. . So wird beim Besuch eines mit dem Wurm infizierten Webservers die Datei readme.eml ausgeführt, welche bei ungepachten Internet Explorern den eigentlichen Wurm (README.EXE) automatisch auf dem die Webseite besuchenden System ausführt (bzw. je nach Sicherheitseinstellung des Internet Explorers eine Interaktion des die Webseite Besuchenden erfordert).

Der Wurm kopiert sich selbst (README.EML) in alle Verzeichnisse des befallenen Systems und auf Netzlaufwerk-Freigaben, auf die der Zugriff gestattet ist.

Der Wurm versucht IIS-Webserver, die mit dem CodeRedII-Wurm infiziert sind, zu befallen. Dabei werden typischerweise HTTP-Requests der folgenden Form erzeugt:

  • GET /scripts/root.exe?/c+dir HTTP/1.0
  • GET /MSADC/root.exe?/c+dir HTTP/1.0
  • GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0
  • GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0
Des Weiteren scheint der neue Wurm die im Mai 2001 beschriebene Schwachstelle des IIS-Webservers [MS/IIS] zahlreiche Schwachstellen im Microsoft IIS 4.0/5.0 auszunutzen. Dabei werden typischerweise HTTP-Requests der folgenden Form erzeugt:
  • GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0
  • GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0
  • GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0
  • GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0
Außerdem nutzt er offenbar die im MS00-078/MS00-057 beschriebene Unicode-Schwachstelle des IIS-Webservers zur Verbreitung. Dabei werden typischerweise HTTP-Requests der folgenden Form erzeugt:
  • GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0
  • GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0
  • GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0
  • GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0
  • GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0
  • GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0
  • GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0
  • GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0

Bekannte Aliases

  • Code Rainbow
  • Concept Virus(CV) V.5
  • W32.Nimda.A@mm
  • W32/Minda@MM
  • PE_NIMDA.A

Entfernung des Wurms
Der Wurm wird sich (zumindest auf Server-Systemen) vermutlich nie zuverlässig automatisch entfernen lassen. Aus diesem Grund ist eine Neuinstallation des Systems von einem vertrauenswürdigen Datenträger und die Einspielung der neuesten Sicherheitspatches erforderlich - ohne das System vorher an das Internet oder das lokale Netz zu hängen, um eine erneute Infektion zu vermeiden. Danach sollte der Datenbestand vom Backup zurückgespielt werden und mit einem aktuellen Virenscanner überprüft werden. (Siehe auch den separaten Artikel zur Entfernung des Wurmes.) Zahlreiche Anti-Viren-Hersteller stellen dafür ein Update zur Verfügung:

Gegenmaßnahmen
Die von dem neuen Wurm verwendeten Schwachstellen sind seit längerer Zeit bekannt, Microsoft stellt Sicherheitsupdates zur Verfügug.

Für den Internet Explorer ist zumindest folgender Patch notwendig:

Für den IIS-Webserver ist zumindest folgende Patch notwendig:

Eine tabellarische Übersicht der Microsoft Windows Security Patches (engl. und dt.) mit Links zum Mirror der Security Patches auf dem ftp-Server der Universität Stuttgart befindet sich unter:

Eine tabellarische Auflistung der verfügbaren Sicherheitsupdates für den Internet Explorer und Outlook Express befindet sich unter:

Installieren Sie die aktuellen Anti-Virus-Updates.

Die Universität Stuttgart besitzt eine Campuslizenz für den McAfee Virenscanner, der in der aktuellen Version diesen Virus zuverlässig erkennt. Näheres hierzu erfahren Sie unter

Workaround
Benutzer des Internet Explorers sollten die fehlenden Sicherheitsupdates installieren und JavaScript bzw. Active Scripting deaktivieren.

Netzwerk-Administratoren könnten bei der Verwendung eines HTTP-Proxy-Server Dateien mit der Endung .eml sperren. Bei squid.conf würde dies beispielsweise so sehen:

acl worm urlpath_regex -i \.eml$
http_access deny worm
Des weiteren sollte wenn möglich die Übertragung von .exe Dateien am Mail-Gateway blockiert werden.

Weitere Information zu diesem Thema

(tf)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=480