Der Nimda-Wurm versetzte viele Windows-Benutzer in Angst und Schrecken. Tools, mit denen der Wurm von einem infizierten System wieder entfernt werden kann, haben Hochkonjunktur. Virenprogrammierer haben diese Verunsicherung ausgenutzt und verschicken unter dem Absender eines namhaften Antiviren-Unternehmens einen angeblichen Nimda-Cleaner, der sich als Trojaner entpuppt.

Der "Nimda-Cleaner" gibt vor, vonTrend Microbeziehungsweise vonSecurityFocuszu stammen. Das Programm kommt als Mailanhang und trägt den Namen fix_nimda.exe. Als Absender wird aris-report@securityfocus.com angegeben, der Betreff lautet "Possible Nimda Worm infection". Dem Empfänger der Mail wird erklärt, dass sein System infiziert sei. Deshalb solle er mit dem angehängten Programm sein System prüfen.

Klickt der Benutzer auf die .EXE-Datei, installiert sich ein trojanisches Pferd, das eine Kopie des BioNet-Trojaners ist. Dieser Backdoor verhilft Angreifern zu einem unerwünschten Remote-Zugang und übermittelt Passwörter. BioNet läuft unter Windows 9.xx, NT und 2000.

Problematisch: Der Name dieses Trojaners "fix_nimda.exe" ähnelt stark dem Namen eines tatsächlichen Nimda-Cleaners von Trend Micro, dem FIX_NIMDA.com. Es besteht also Verwechslungsgefahr. Die dem Trojaner beiliegende readme.txt-Datei ist eine Kopie einer Datei, die zum "echten" Nimda-Cleaner von Trendmicro gehört.

SecurityFocus betont, bisher noch nie .EXE-Dateien verschickt zu haben und dies auch in Zukunft nicht beabsichtigt. Alle Details zu fix_nimda.exe finden Siehier.