Kurzanleitung zum Umgang und Entfernung von Nimda 1) Alle Freigaben mit Passwort schuetzen. NIMDA richtet von sich aus Freigabe C$, D$ usw. OHNE Passwort ein. Mit "$" gekennzeichnete Freigaben sind sogenannte administrative Freigaben und werden bei der Freigabe-Suche NICHT mit angezeigt. NIMDA gibt also ganze Laufwerke frei. Wenn wir die notwendigen NetBIOS-Ports nicht durch die Firewall gesperrt haette, koennte nun weltweit jeder dort beliebige Files lesen, veraendern, loeschen, veraendern oder dort Programme installieren, z.B. Trojaner, die alle Tastatur Eingaben sammeln, insbesondere Passworte. ---------------------------------------------------------------------- 2) Software patchen und richtig konfigurieren: 2.1) IE patchen: o Sie brauchen IE 5.5 mit SP2 oder IE 6.0. Beide sind von \\ZELCDS\public\IE\ zu bekommen. Wer Outlook Express verwendet, soll das mit installieren! o Unter IE 6 MS01-058 einzuspielen, weil ansonsten Fremde dort Code ausfuehren koennen. o Der aktuelle IE-Sammelpatch ist einzuspielen, z.Z. MS02-015. 2.2) IE sicher konfigurieren: a) Unter der Weltkugel: ActiveX: Alle deaktivieren ausser den Plugin ( fuer .pdf-Files) Das auf Eingabeaufforderung setzen. Java: Ausschalter oder auf hohe Sicherheit setzen Active Scripting bzw. JavaScript: Unbedingt deaktivieren bzw. auf Eingabe-Aufforderung: NIMDA erzwingt das ja geradezu. Die beiden weiteren Active Scripting-Optionen: De-aktivieren. b) In der Einbahnstrasse: Eingeschraenkte Sites Alles de-aktivieren: Ich will nichts ausfuehren, was mir einer per Mail geschickt hat. 2.3) Outlook Express bzw. Outlook sicher konfigurieren: o Vorschau ausschalten. o Sicherheit: Mails mit den Sicherheits-Einstellungen des IE fuer Eingeschraenkte Sites lesen (s.o.) o Senden: nur TXT-Versionen, nie HTML-Versionen! ---------------------------------------------------------------------- 2.3) Falls der Microsoft-Web-Sever IIS auf dem betreffenden Rechner laeuft, dann muss unbedingt der aktualle IIS-Sammelpatch installiert sein. Das ist z.Z. Patch MS02-018. Den findet man auf \\ZELCDS\public\MS-Paches\MS02-018\ Wenn der IIS noch nicht gepatcht ist, wird er von NIMDA (oder Code Red usw.) uebernommen. Das haben wir nun schon viermal im FZJ erlebt, dass einer mal testweise einen IIS-Server installiert hat und dann, wenn der Rechner am Netz ist, bereits uebernommen ist, noch bevor er Zeit hatte, den aktuellen IIS-Sammelpatch einzuspielen. Deshalb: o Zuerst sich den Patch vom ZEL-CD-Server (s.o.) lokal auf seinen Rechner holen. o Dann den Rechner vom Netz nehmen (zur Not: Netzkabel ziehen; Achtung: Netz muss terminiert sein, sonst kann keiner mehr in diesem Strang arbeiten!) o Dann IIS installieren o Dann IIS-Sammelpatch von lokal einspielen. o Nun kann man den Rechner wieder ans Netz bringen. ---------------------------------------------------------------------- 2.4) Antiviren-Software aktualisieren ---------------------------------------------------------------------- 3) Den PC auf Viren untersuchen: Man kann dazu auch F-PROT vom PC-Server verwenden. \\PCSRV\public\f-prot\f-prot.exe starten und zweimal ENTER In \\PCSRV\public\f-prot\zip\ findet man den Zip-File fpmiMMTT.zip (mit MM = Monat und TT = Tag der Erstellung). Dieser enthaelt ein minimales, aber voll funktionstuechtiges F-PROT. Wenn man sich das holt und in einem eigenen Verzeichnis z.B. in C:\fprot auspackt, dann kann man auch im DOS-Mode dieses starten. Das ist notwendig, wenn ein Virus ein Programm infiziert hat, z.B. den explorer.exe, das von Windows geoeffnet ist. Alle Files, die Windows im Zugriff hat, kann man nicht unter Windows, sondern immer nur im DOS-Modus ( Rechner vorher neu in den MS-DOS Modus starten) virenfrei machen. Sowohl NAI als auch F-Secure haben eigene Hilfsprogramme entwickelt, um den NIMDA-Virus zu entfernen. Diese findet man auf \\PCSRV\public\f-prot\viren.weg\nimda\ Diese wuerde ich noch einmal laufen lassen, nachdem man seinen Rechner mit F-PROT oder McAfee's VirusScan gesaeubert hat: Doppelt genaeht .... Das NAI-Programm steht dort im Unterverzeichnis "nai". Packen Sie das aus. Mit nimdascn c:\*.* wird die Festplatte C NIMDA-frei gemacht. nimdascn c:\*.* /report > C:\nimdalog.txt erzeugt zusaetzlich ein Protokol und legt das in der angeg. Datei ab. ----------------------------------------------------------------------- 4) Benutzer dazu erziehen, Anhaenge nicht zu oeffnen. ----------------------------------------------------------------------- Weitere Informationen: z.B. DFN-CERT Nimda-Info: http://www.cert.dfn.de/infoserv/dsb/dsb-2001-01.html Microsoft: http://www.microsoft.com/technet/treeview/default.asp? url=/technet/security/topics/nimda.asp (Bitte URL wieder zusammenziehen zu: ...asp?url=/technet/.. !) Ich hoffe, dass war nicht zu knapp. Sonst fragen Sie nach. Stand: 18.4.2002 Quelle: http://www.fz-juelich.de/zam/net/security/infos/sec-news/nimda.txt Rudi Theisen, ZAM, FZJ, Tel. 3865, r.theisen@fz-juelich.de ----------------------------------------------------------- Regie-Hinweise (nur fuer Rudi Theisen): cd ~4-www-sec/infos/sec-news scp nimda.txt www:/var/local/www/fzj/zam/net/security/infos/sec-news/ ssh www 'ls -ltr /var/local/www/fzj/zam/net/security/infos/sec-news/' scp nimda.txt pcsrv:/usr/local/pc/f-prot/viren.weg/nimda/ ssh pcsrv 'ls -ltr /usr/local/pc/f-prot/viren.weg/nimda/ '