Virus-Attacke Aggressiver Wurm greift an

Ein neuer Internet-Wurm ist unterwegs. "W32.Nimda" ist vermutlich gefährlicher als "Code Red". In Japan und USA sind bereits Computer befallen, selbst Microsoft ist betroffen. Das FBI hat die Ermittlungen aufgenommen.

Hamburg - Der gefährliche Internet-Wurm "Nimda" hat Viren-Experten, Unternehmen und private Internet-Nutzer weltweit in Alarmbereitschaft versetzt.

Wie viele Internet- und Unternehmens- Server oder Privatpersonen betroffen sind, ist nach Angaben von Experten noch nicht absehbar. Allein auf einem Test-Server des Forschungszentrums McAffee Avert des Software-Herstellers Network Associates werden derzeit bis zu 170 Attacken in der Stunde registriert, sagte Dirk Kollberg, Virenexperte des Unternehmens am Mittwoch.

Nach den jüngsten Attacken des Virus "Code Red" hätten viele Firmen in Deutschland ihre Server gut geschützt. Völlig neuartig sei allerdings, dass sich mit "Nimda" ein Wurm sogar in lokalen Netzwerken verbreitet, sagte Dirk Musztopf von der Hamburger Sicherheitsfirma Percomp Verlag.

"Einzigartige Waffe"

"Dieses Ding nutzt die erfolgreichsten Merkmale von Viren und Würmern und verbindet sie zu einer einzigen Waffe", sagte Dan Ingvaldson von dem amerikanischen Sicherheitsunternehmen Internet Security Systems Inc.

Die Sabotage-Software greift sowohl größere Server als auch Personalcomputer an, die mit Microsoft-Programmen wie Outlook Express und Internet Information Server (IIS) arbeiten. Auch Nutzer des Internet-Browsers Microsoft Internet Explorer 5.5. und 5.5 SP1 seien bedroht, teilte Microsoft mit.

Der Verdacht, dass sich auch private Nutzer allein durch das Surfen durchs Netz infizieren können, hat sich nach Angaben des Online-Branchen-Dienstes "Heise online" inzwischen bestätigt. Nach Angaben von Trend Micro soll sich der Virus, der sich auch über E-Mail verbreitet, ohne Öffnen der Nachrichten selbst weiter verbreiten können.

Die Experten sind sich einig, dass "Nimda" die Zahl der vom jüngsten Wurm "Code Red" infizierten Systeme um ein vielfaches übertreffen könnte. "Wir erhalten Meldungen über ernste Probleme aus allen Teilen des Landes", sagte Ingvaldson.

Zahlreiche Mutanten

"Die Programmierer dieses Virus sind wirklich Experten, das muss man ganz wertfrei zugeben", sagte Christian Persson, Chefredakteur des Computer-Fachmagazins "c't". "Nimda" agiere "äußerst raffiniert" und scheine sich permanent zu verändern. "Mittlerweile ist eine Vielzahl von Varianten im Umlauf." Da der Wurm offensichtlich auch E-Mails mit gefälschten Absendern verschickt, ließe sich seine Spur nur schwer nachverfolgen.

In den Vereinigten Staaten sollen bis Dienstagnachmittag vermutlich rund 130.000 Internet-Server und Personalcomputer befallen worden sein, schätzte David Moore, Computerfachmann beim Supercomputer Center in San Diego. "Er scheint sehr weit verbreitet zu sein und vermehrt sich mit einer unbeschreiblich schnell wachsenden Rate", sagte Graham Culey von Sohos Antivirus. "Das ist das Schweizer Taschenmesser unter den Würmern", sagte Dan Ingevaldson von Internet Security Systems. "Er scheint wirklich alles zu probieren."

Die amerikanische Bundespolizei FBI hat inzwischen die Ermittlungen aufgenommen. US-Justizminister John Ashcroft warnte am Dienstag, "Nimda" sei vermutlich schlimmer als "Code Red".

Japan und Schweiz attackiert

In Japan hat "Nimda" neben Microsoft auch die Rechner verschiedener Firmen, einer Universität und einer Bank befallen. Die Tsuru Credit Union musste ihre Website vom Netz nehmen, weil sie infiziert war. Davon waren auch die Online-Transaktionen von Kunden betroffen. Infiziert waren vermutlich auch die Rechner der Nachrichtenagentur Kyodo und der Zeitung "Chunichi".

In der Schweiz war die Post betroffen. Alex Josti, Sprecher von Postfinance, sagte, infiziert seien die Finanzportale der Post im Internet, Postfinance und Yellowworld. Nicht betroffen sei die Postcard. Das Problem wird laut Josti mit höchster Priorität behandelt. Der Sprecher hoffte, dass die Panne im Laufe des Mittwochs behoben werden könne.

Firmenserver im Visier

Darüber hinaus befällt der Wurm direkt Firmenserver mit den Betriebssystemen Windows NT4 und Windows 2000 und nutzt dabei ähnlich wie im Juli der Virus "Code Red" Sicherheitslücken der Microsoft-Server-Software IIS (Internet Information Server). Bei den Attacken auf Server werden unterschiedliche IP-Adressen ausprobiert, über die auf den Rechner zugegriffen werden kann. Ken Van Wyk, Cheftechnologe des amerikanischen Unternehmens ParaProtect, sagt, dass "W32-Nimda" 16 bekannte Sicherheitslöcher von IIS auszunutzen sucht.

Einmal in einem Firmennetz angekommen, sucht "Nimda" dann die Programmdateien auf freigegebenen Ordnern aller angeschlossenen Computer und infiziert diese mit sich selbst.

Urheber unbekannt

Bislang ist unklar, wer hinter der Attacke steht. Die erste Attacke wurde aus Norwegen gemeldet. Eine Hacker-Gruppe mit dem Namen "Dispatchers" hatte am Montag nach Angaben des FBI Angriffe auf Kommunikations- und Finanzstrukturen angekündigt. Bereits nach den Terroranschlägen der vergangenen Woche in den USA hatte das FBI vor vermehrten Hacker-Angriffen gewarnt.

Die Wiedergabe wurde unterbrochen.