Der Tagesspiegel Berlin vom 21.09.01

Gefahr durch "Nimda" hält an

Virus frißt sich weiter durch das Netz. Im Visier vor allem Microsoft-Programme
von Kurt Sagatz

Der Computerschädling "Nimda", der sich seit Mittwoch auch durch den deutschen Teil des Internets eine breite Schneise frißt, stellt durch seine Bündelung verschiedener Angriffsarten eine bis dahin nicht gekannte Gefahr für das weltweite Netz dar. Der Schaden, den die letzte großeViren-Welle mit "Code Red" gerade erst angerichtet hat, wird laut US Justistizministerium auf 2,6 Milliarden Dollar allein für die USA geschätzt. Die Folgen von "Nimda" dürften weitaus gravierender ausfallen. Bis Donnerstag stieg die Zahl der infizierterten Systeme auf 130.000 an. Am Donnerstag führte der durch "Nimda" ausgelöste E-Mail-Verkehr bundesweit zu verstärkter Netzauslastung, die sich unter anderem in längeren Ladezeiten von Intemet-Seiten niederschlug.

"Dieses Ding nutzt die erfolgreichsten Merkmale von Viren und Würmern und verbindet sie zu einer einzigen Waffe", sagte Dan Ingvaldson vom amerikanischen Sicherheitsunternehmen Internet Security Systems. Die Sabotage-Software greift sowohl größere Server als auch normale PC's an, die mit Microsoft-Programmen wie Outlook-Express oder dem Internet Information Server arbeiten. Auch Nutzer der Internetz-Brauser von Microsoft, dem Intemet-Explorer 5.0 und 5.5, mit eingespieltem Server-Pack 1 seien bedroht, teilte Microsoft inzwischen mit.

In seiner Wirkungsweise nutzt "Nimda" vor allem Fehler aus Schwachstellen in Microsoft. In den aktuellen Windows-Versionen sind der Intemet Explorer, das Mailprogramm Outlook-Express beziehungsweise Outlook sowie der Media Player sehr weit miteinander verknüpft, was dem Nutzer normalerweise zugute kommt, da vieles automatisch abläuft. "Nimda" nutzt dies jedoch dafür aus, Sicherheitsbarrieren zu überspringen.

Für die Internetz-Nutzer stellt sich nun die Frage, wie man sich angesichts der neuen Bedrohung verhalten soll. Für die Betreiber von Internetz-Servern mit Microsoft-Software (Internetz Information Server) gilt, die aktuellen Fehlerbehebungsdateien, die sogenannten Patches, zu installieren, damit sich das Virus nicht an vorhandene Internetz-Seiten anhängen kann. Zudem rät Christoph Pu ppe vom Computersicherheits-Untemehmen Defcom Security in Berlin, mindestens einmal monatlich zu prüfen, ob es nicht neuere Patches gibt.

Betreibern von Firmennetzwerken (Intranet) empfiehlt der Chief Security Consultant des international agierenden Unternehmens neben der obligatorischen Nutzung und der permanenten Aktualisierung von Firewall- und Proxy-Servem den Einbau von Intemet-Alarmanlagen. Diese so genannten Intrusion Detection Systeme melden Angriffe aus dem Intemet. Zur weiteren Absicherung des Intranets gilt auch hier, aktuelle Patches für den Internetz Information Server aufzuspielen.

Genau wie die professionellen Nutzer sollten jedoch auch normale Intemet-User Virenscanner einsetzen, die "on the fly" alle Inhalte, die von außen in das System gelangen, auf Viren prüfen und diese unschädlich machen. Zudem sollte die Windows-Update Funktion genutzt werden, um die bestehenden Sicherheitslücken im Internet Explorer oder den Mailprogrammen Outlook und Outlook Express zu schließen. Zudem ist es nach Puppes Ansicht derzeit ratsam, in den Einstellungen des Internet-Explorers die Nutzung von Java Script oder ActiveX abzuschalten. Das habe zwar den Nachteil, daß einige multimedial gestaltete Internetz-Seiten nicht mehr richtig dargestellt werden, zugleich wird jedoch das "automatische Ausführen von Viren wie "Nimda" verhindert. Grundsätzlich gilt zudem, daß auch im privaten Bereich regelmäßig die eigenen Datenbestände auf externe Medien gesichert werden.

Da Viren-Programmierer vor allem die Eigenschaften von Microsoft-Software nutzen, um ihre Schädlinge erfolgreich zu plazieren, rät Christoph Puppe zudem generell davon ab, Outlook oder Outlook Express einzusetzen. Als Alternativen empfiehlt er Programme wie Eudora, Pegasus oder den in Netscape eingebauten Mail-Client. Wer dennoch weiterhin die Microsoftprogramme nutzt, sollte Mails mit unbekanntem Empfänger oder nicht zuordenbare Inhalte direkt mit Hilfe der Funktionen der rechten Maustaste löschen. Jedes normale Anklicken der Mail könne zum sofortigen Ausführen des Virus führen.

Auch hinsichtlich der Internetz-Brauser sollte über die Nutzung altemativer Programme wie Netscape oder Opera in den jeweils aktuellen Versionen nachgedacht werden, da diese Programme nicht so stark in das Betriebssystem integriert seien. Um zu erkennen, ob sich "Nimda"bereits auf der eigenen Festplatte befindet, muß der Rechner auf bestimmte Dateien wie "desktop.eml" oder "readme.eml" durchsucht werden, mit deren Hilfe sich das Virus weiter im eigenen System beziehungsweise im Firmennetzwerk ausbreitet. Ist bereits ein Befall eingetreten, hilft der Einsatz von Anti-Virenprogrammen von Firmen wie McAfee oder Symantec, die das System von den Schädlingen befreien. Allerdings nur, wenn die Programme zuvor per Update-Funktion aktualisiert wurden. Christoph Puppe rechnet damit, daß entsprechende AktualIsierungen in den nächsten Tagen verfügbar sein werden.

Trotz der extrem hohen Ausbreitung des Virus' und der damit einhergehenden Störung des Internetz-Verkehrs bleibr mit Blick auf "Nimda" immerhin ein Trost: bislang wurde in dem Virus keine Schadensroutine entdeckt. Allerdings sei dies ein Glücksfall, auf den man sich nicht verlassen sollte. Der nächste Virus kommt bestimmt und zerstört dann möglicherweise wie "I love you" Dateien oder sogar den gesamten Rechner. Sowohl für professionelle Nutzer als auch Privatleute gilt daher: nur die regelmäßige Aktualisierung des Virenschutzes und der Einbau von Internetz-Alarmanlagen sowie die Sicherung der Datenbestände schützt vor größeren Schäden.

Seit 26.9.01 ist der Update für Virenschutz gegen Nimda bei Symantec zu erhalten über: www.symantec.com/region/de/downloads/, Sie müssen bereits Norton Antivir von Symantec besitzen.

Gehe zu: ErsteHilfe | Kultur-Netz