Nein, aber er nutzt u.a. dieselbe Sicherheitslücke. Obiger String ist typisch für eine Angriff auf den Bug in Unicode-Umsetzung, den eben auch Code-Blue verwendet.

Was mich etwas verwundert: Der Hype hier ist deutlich übler als bei CodeBlue und ich hatte bisher grade mal 3 Requests, die diese Lücke auszunutzen versuchten und nicht von CodeBlue stammten. Nuja, vielleicht testet Nimda wirklich vorher auf IIS und setzt erst dann seinen Stachel an.

Was mir gefällt: Endlich ist mal einer auf die Idee gekommen, daß beste der bisher bekannte und gefährlichen Windoof-Viren in einen zu packen und ihn nicht von einer oder zwei Sicherheitslücken anbhängig zu machen.

Hmmm, ja, hübsch, das Ding. Und ich fahre Unix und Apache. *eg*

P.S.: Hier die Heise-Links zum momentanen Stand:

• Gefährlicher neuer Virus im Umlauf
• Schutzmaßnahmen gegen den Nimda-Wurm (Update) <-- Hier gibt's auch Links zu den einschlägigen AV-Seiten
• Squid-Proxy filtert Nimda-Wurm

In meinem Log verschwindet CodeRed 2 Einträgen unter den Neuen und das im Verhältnis 4:1!

AF schrieb:

3 Requests?

Ja, und zwar immer noch 3 auf unserem nicht verlinkten Test-Server und 0 auf unserem normalen Webserver und einer zweiten Spielkiste. Und auch daraufhin, das mein String "cmd.exe", nach dem ich fgreppe, falsch ist: Ein less zeigt mir nachwievor gut CodeRed-Zugriffe (grob alle zwei- bis drei Minuten), aber keine, die auf CodeBlue oder Nimda passen.

Könnte das wirklich daran liegen, daß beide Maschinen ein Unix (SunOS, Solaris, Linux) als Betriebssytem und ein Apache als Webserver? Denn unser einziger IIS in der Firma bricht fast zusammen unter den Zugriffen (grade erst erfahren, für den ist jemand anderes zuständig :-) und wird deswegen auf Port 8000 gelegt und vorerstmal per IP-Filter nur von innerhalb der Firma erriechbar sein (doppelt gemoppelt hlt besser :-).

Stellt sich die Frage, wie das Ding das erkennt, wenn nicht per HEAD-Request? (Solche sind nämlich auch keine passenden zu finden.)

P.S.: Und es freut mich noch mehr, daß sich die ganze Active-Schweinekram (aka JavaScript) Fans auf ein trockenes Leben und neue Webseiten einstellen müssen. *luftsprüngemach* ;-)

*ARGH*       Ich hab' die Nimda-Requests bei mir nun gefunden: Ich habe bisher immer im Access-Log des Default-VirtualHosts "www" gesucht (wo Requests ohne Host-Header nunmal landen), anstatt auch mal in dem des VirtualHost `hostname` nachzusehen. Anscheinend macht Nimda (und wohl auch CodeBlue, da hatte ich den selben Effekt) oder die DLL, die es für die Requests nutzt, einen DNS-Lookup auf die IP und sendet einen passenden Host-Header mit.

Nachdem hier unverblümt die Abschaltung des active Scripting im Internet Explorer empfohlen wird, sehe ich ein Problem für Webdesigner herankommen, die die Navigation Ihrer Websites auf JavaScript-Unterstützung aufbauen

Vielleicht handelt es sich hierbei nur um einen LART für selbige. ;-)

Sage ich auch immer:

Egal, ob SSI, CGI, JSP, ASP, PHP (Könnte glatt 'ne Textzeile aus "MfG" von den Fanta-4 sein ;-), EmbPerl, ePerl, Python, Zope, MetaHTML, m4 oder sonstwas  -  Hauptsache kein LiveScript, JavaScript, ECMAscript, VBScript oder Shockwave für Navigation, Inhalt und andere essentielle Bestandteile von Webseiten. Wer sowas macht ist selbst Schuld und gehört geschlagen. :-)

Aber EuphoriasChild scheint hier auf Symlink sowieso etwas häufiger mit seiner Meinung bzgl. solchen Dingen alleine dazustehen. SCNR.

Hier noch der Link zum aktuellen Advisory

http://cert.uni-stuttgart.de/ticker/article.php?mid=480