700688

fix_nimda.exe

02.10.2001 | 12:55 Uhr |

Der Nimda-Wurm versetzte viele Windows-Benutzer in Angst und Schrecken. Tools, mit denen der Wurm von einem infizierten System wieder entfernt werden kann, haben Hochkonjunktur. Virenprogrammierer haben diese Verunsicherung ausgenutzt und verschicken unter dem Absender eines namhaften Antiviren-Unternehmens einen angeblichen Nimda-Cleaner, der sich als Trojaner entpuppt.

Genaue Bezeichnung

fix_nimda.exe.

Aliasnamen

Typ

Erstes Auftreten

Verbreitung

Gering

Wirkung/Schaden

Klickt der Benutzer auf die .EXE-Datei, installiert sich ein trojanisches Pferd, das eine Kopie des BioNet-Trojaners ist. Dieser Backdoor verhilft Angreifern zu einem unerwünschten Remote-Zugang und übermittelt Passwörter. BioNet läuft unter Windows 9.xx, NT und 2000. Der Trojaner scheint eine ZIP-Datei zu enthalten, die nach dem Entpacken ein Verzeichnis FIX_NIMDA mit folgenden Dateien erzeugt: FIX_NIMDA.exe, readme.txt, SLIDE.DAT, und slide.exe. Außerdem trägt sich der Schädling in mehrere Windows-System-Dateien ein.

Infektionsweg

Der "Nimda-Cleaner" gibt vor, von Trend Micro beziehungsweise von SecurityFocus zu stammen. Das Programm kommt als Mailanhang und trägt den Namen fix_nimda.exe. Als Absender der Mail wird aris-report@securityfocus.com angegeben. Dem Empfänger der Mail wird erklärt, dass sein System infiziert sei. Deshalb solle er mit dem angehängten Programm sein System prüfen.

Besonderheiten

Problematisch: Der Name dieses Trojaners "fix_nimda.exe" ähnelt stark dem Namen eines tatsächlichen Nimda-Cleaners von Trend Micro, dem FIX_NIMDA.com. Es besteht also Verwechslungsgefahr. Die readme.txt-Datei ist eine Kopie einer Datei, die dem richtigen Nimda-Cleaner von Trendmicro beiliegt. SecurityFocus betont, bisher noch nie .EXE-Dateien verschickt zu haben und dies auch in Zukunft nicht beabsichtigt.

Was Sie tun können

Nie auf unbekannte Mail-Anhänge klicken.

Weitere Infos

fix_nimda.exe BioNet

0 Kommentare zu diesem Artikel
700688