---

En ny orm spreder sig med lynets hast..!

Ved 16:00 tiden i går begyndte min web-servers log-fil at gå amok, jeg
fik extreme mængder af mystiske kald til div. script og exe filer. Jeg
har på et døgn modtaget næsten 10.000 af den type kald.

Det er er en orm som hedder W32.nimda.a.mm

Den pågældne orm / virus inficerer M$-IIS og NT web-servere, den
inficerer også de hjemmesider der ligger på de pågældne servere, og den
sperder sig ved hjælp af noget Java til de brugere der besøger hjemmesiden.

Jeg ved ikke om den kan smitte / skade Mac-brugere, der anvender
Internet Explorer og Outlook, derfor er det nok klogt at være forsigtig
ind til det er afklaret.

--
| Med venlig hilsen - Niels Riis Ebbesen |
| http://www.niels-ebbesen.net - Free-lance grafik & webdesign |
| http://www.photo-gallery.dk - Skandinaviens største fotoarkiv |
| http://home3.inet.tele.dk/elgo - Links til alverdens søgemaskiner |

---

> Jeg ved ikke om den kan smitte / skade Mac-brugere, der anvender
> Internet Explorer og Outlook, derfor er det nok klogt at være forsigtig
> ind til det er afklaret.

Mac-versionerne nævnes ikke i den tekst(*) på Microsofts hjemmeside der
informerer om virussen, så vi må næsten gå ud fra at det som sædvanligt kun
er Windows-versionerne der er problemer med.

(*) Information on the "Nimda" Worm
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/
topics/Nimda.asp


Venlig hilsen
Jakob

---

Jakob Bock <jakobb@mail.tele.dk> wrote:

> > Jeg ved ikke om den kan smitte / skade Mac-brugere, der anvender
> > Internet Explorer og Outlook, derfor er det nok klogt at være forsigtig
> > ind til det er afklaret.
>
> Mac-versionerne nævnes ikke i den tekst(*) på Microsofts hjemmeside der
> informerer om virussen, så vi må næsten gå ud fra at det som sædvanligt kun
> er Windows-versionerne der er problemer med.
>
> (*) Information on the "Nimda" Worm
> http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/
> topics/Nimda.asp
>
>
> Venlig hilsen
> Jakob

Hvis alle ens sites er hostet på Mac servere, så kan man da besøge dem
lige så tosset man vil uden at virussen angriber det besøgte site oder
was ????!!!!!

--
Ciao Jesper )

---

Jesper Haaber Gylling wrote:

> Hvis alle ens sites er hostet på Mac servere, så kan man da besøge dem
> lige så tosset man vil uden at virussen angriber det besøgte site oder
> was ????!!!!!


Ormen kan ikke inficere en Mac web-server, så man kan trygt besøge
web-sites der serves fra en Mac, Linux og Unix servere bliver heller
ikke inficeret af ormen.

Men den store mængde kald suger jo af serverens kapasitet, der skal jo
hver gang bruges resoucer på et code 404 svar.

Min web-server var på et tidspunkt oppe på, at bruge mellem 15 og 20% af
kapasiteten, på at sende code 404 svar.

--
| Med venlig hilsen - Niels Riis Ebbesen |
| http://www.niels-ebbesen.net - Free-lance grafik & webdesign |
| http://www.photo-gallery.dk - Skandinaviens største fotoarkiv |
| http://home3.inet.tele.dk/elgo - Links til alverdens søgemaskiner |

---

Den 19/09/01 9:38 skrev Niels Ebbesen,info@niels-ebbesen.net

> En ny orm spreder sig med lynets hast..!
>
> Ved 16:00 tiden i går begyndte min web-servers log-fil at gå amok, jeg
> fik extreme mængder af mystiske kald til div. script og exe filer. Jeg
> har på et døgn modtaget næsten 10.000 af den type kald.
>
> Det er er en orm som hedder W32.nimda.a.mm
>
> Den pågældne orm / virus inficerer M$-IIS og NT web-servere, den
> inficerer også de hjemmesider der ligger på de pågældne servere, og den
> sperder sig ved hjælp af noget Java til de brugere der besøger hjemmesiden.
>
> Jeg ved ikke om den kan smitte / skade Mac-brugere, der anvender
> Internet Explorer og Outlook, derfor er det nok klogt at være forsigtig
> ind til det er afklaret.

Min webserver en Mac med Webstar 4.3 har også modtaget 10.000'vis af opkald
siden i går, herunder et klip fra logfilen:

12:53:53 :scripts:root.exe
12:54:00 :MSADC:root.exe
12:54:06 :c:winnt:system32:cmd.exe
12:54:13 :d:winnt:system32:cmd.exe
12:54:19 :scripts:..%5c..:winnt:system32:cmd.exe
12:54:24 :_vti_bin:..%5c..:..%5c..:..%5c..:winnt:system32:cmd.exe
12:54:32 :_mem_bin:..%5c..:..%5c..:..%5c..:winnt:system32:cmd.exe
12:54:36
:msadc:..%5c..:..%5c..:..%5c:..¡..:..¡..:..¡..:winnt:system32:cmd.exe
12:54:40 :scripts:..¡..:winnt:system32:cmd.exe
12:54:42 :scripts:..¿/..:winnt:system32:cmd.exe
12:54:45 :scripts:..¿Ø..:winnt:system32:cmd.exe
12:54:48 :scripts:..¡ú..:winnt:system32:cmd.exe
12:54:51 :scripts:..5c..:winnt:system32:cmd.exe
12:54:54 :scripts:..5c..:winnt:system32:cmd.exe
12:54:57 :scripts:..%5c..:winnt:system32:cmd.exe
12:55:00 :scripts:..%2f..:winnt:system32:cmd.exe

Webserver og mailserver fungerer tilsyneladende upåklageligt.
Jeg er koblet op via en Cisco 677 router.

Har I ideer/kommentarer/forklaring

Mvh
lars

---

Hej Lars

Jeg tror helt givet, det er 'Nimda', der er på spil.
(se også svar til Niels)

mvh. Erik Richard

Lars Kristensen wrote:

> I.....I
> Min webserver en Mac med Webstar 4.3 har også modtaget 10.000'vis af opkald
> siden i går, herunder et klip fra logfilen:
>
> 12:53:53 :scripts:root.exe
> 12:54:00 :MSADC:root.exe
> 12:54:06 :c:winnt:system32:cmd.exe
> 12:54:13 :d:winnt:system32:cmd.exe
> 12:54:19 :scripts:..%5c..:winnt:system32:cmd.exe
> 12:54:24 :_vti_bin:..%5c..:..%5c..:..%5c..:winnt:system32:cmd.exe
> .....
> Webserver og mailserver fungerer tilsyneladende upåklageligt.
> Jeg er koblet op via en Cisco 677 router.
>
> Har I ideer/kommentarer/forklaring

--
K.M.L. Denmark by Erik Richard Sørensen, Member of ADC
Edwin Rahrsvej 20.3.03, DK-8220 Brabrand, Denmark
Phone: (+45) 8625 0963, Fax: (+45) 8625 0962 (temporary off)
Mobile phone: (+45) 4082 6109, E-mail: <kml.ers@mail1.stofanet.dk>
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
- Software - For Theological Education - And For Physical Impaired
- Do it The Nisus Way - Nisus Writer, The Best Textprocessor in The World
- Nisus Email, A Revolution In Emailing - Visit: <http://www.nisus.com>
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

---

Erik Richard Sørensen <kml.ers@mail1.stofanet.dk> wrote:

> Hej Lars
>
> Jeg tror helt givet, det er 'Nimda', der er på spil.
> (se også svar til Niels)
>
> mvh. Erik Richard
>
> Lars Kristensen wrote:
>

jeps, jeg har 3 linux + en Win2K (propperly patched), og deres logfiler
bugner af det der...

en af de heldige angrebne var statsbiblioteket og Mellemfolkeligt
samvirke...

/thomas

---

Thomas von Hassel <t@garbage.dk> wrote:

> Erik Richard Sørensen <kml.ers@mail1.stofanet.dk> wrote:
>
> > Hej Lars
> >
> > Jeg tror helt givet, det er 'Nimda', der er på spil.
> > (se også svar til Niels)
> >
> > mvh. Erik Richard
> >
> > Lars Kristensen wrote:
> >
>
> jeps, jeg har 3 linux + en Win2K (propperly patched), og deres logfiler
> bugner af det der...
>
> en af de heldige angrebne var statsbiblioteket og Mellemfolkeligt
> samvirke...
>
> /thomas

Hvis de nu havde brugt Apache i stedet for IIS havde de været meget
heldigere stillet.
--
Jesper. »Vi danskere er med vores kristne-lutheranske
kulturarv så forskellige fra muslimerne, at vi må erkende,
at vi ikke kan leve sammen.«
Sven Bergstein, Pens. Oberstløjtnant, medlem af CD

---

Hej Niels

Iflg. middagsradioavisen d.d. kan den også både inficere og 'gemme sig' i MSIE
og MSOE og videresendes via adressebøgerne herfra. Der blev ikke nævnt noget
om, at den er platformafhængig.

Noget af det, der gør den her ekstra farlig, er, at den kan spredes /
installere sig selv, _uden_ at du klikker på den vedhæftede fil - stadig iflg.
eksperten i Radioavisen....

Jeg fik en enkelt af dem i går aftes med Netscape, men dér har den
tilsyneladende ikke gjort skade.

Så jo! - Jeg tror, der er grund til at passe ekstra på.

mvh. Erik Richard

Niels Ebbesen wrote:

> En ny orm spreder sig med lynets hast..!
>
> Ved 16:00 tiden i går begyndte min web-servers log-fil at gå amok, jeg
> fik extreme mængder af mystiske kald til div. script og exe filer. Jeg
> har på et døgn modtaget næsten 10.000 af den type kald.
>
> Det er er en orm som hedder W32.nimda.a.mm
>
> Den pågældne orm / virus inficerer M$-IIS og NT web-servere, den
> inficerer også de hjemmesider der ligger på de pågældne servere, og den
> sperder sig ved hjælp af noget Java til de brugere der besøger hjemmesiden.
>
> Jeg ved ikke om den kan smitte / skade Mac-brugere, der anvender
> Internet Explorer og Outlook, derfor er det nok klogt at være forsigtig
> ind til det er afklaret.

--
K.M.L. Denmark by Erik Richard Sørensen, Member of ADC
Edwin Rahrsvej 20.3.03, DK-8220 Brabrand, Denmark
Phone: (+45) 8625 0963, Fax: (+45) 8625 0962 (temporary off)
Mobile phone: (+45) 4082 6109, E-mail: <kml.ers@mail1.stofanet.dk>
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
- Software - For Theological Education - And For Physical Impaired
- Do it The Nisus Way - Nisus Writer, The Best Textprocessor in The World
- Nisus Email, A Revolution In Emailing - Visit: <http://www.nisus.com>
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

---

Erik Richard Sørensen <kml.ers@mail1.stofanet.dk> wrote:

> Så jo! - Jeg tror, der er grund til at passe ekstra på.

Microsofts produkter på Windows platformen anvender deres egen scripting
teknologi og det er dén, som de seneste "orme" har brugt til at kopiere
sig selv og lave ravage.

Det er selvsagt ikke noget problem på Mac'en og medmindre man forwarder
automtisk eller manuelt til PC'ere, så ER der ikke noget problem.

Det der undrer mig, er at denne orm tilsyneldadende kalder
systemresourcer eller arkiver og roder rundt i dem. Kan det virkelig
bare sådan lade sig gøre på en Win NT?

Når jeg konfigurere min WEB-server på Mac'en er det jo kun ganske
bestemte områder af harddisken, som jeg åbner for og derfor kune jeg
ikke forestille mig at en tilsvarende ting kunne fungere på en Mac,
selvom en eller anden nørd gik målrettet efter Mac'en.

Men det er selvfølgelig først et program, den prøver at installere i min
scripts-mappe!..hmmm ?

?

Stig


____________________________________________________
www.simplesoft.dk - www.macperiferi.dk

---

Stig Leerbeck wrote:

> Når jeg konfigurere min WEB-server på Mac'en er det jo kun ganske
> bestemte områder af harddisken, som jeg åbner for og derfor kune jeg
> ikke forestille mig at en tilsvarende ting kunne fungere på en Mac,
> selvom en eller anden nørd gik målrettet efter Mac'en.


Der flere grunde til at det ikke vil have samme effekt, at angribe
Mac-servere med en orm, for det første så er vi ikke bundet til at vores
direktories skal have forudbestemte navne og placeringer, så en nørd vil
ikke kunne forudsige hvor vi har nogle givne filer liggende, og hvad vi
har døbt dem.

Og et script skal jo også aktiveres, og det kan ikke ske med en
komandolinie, og så er der kun mappen "startemner" der bruges, og alle
der kører web-servere lukker da for adgangen til alle de direktories der
ikke udshares.

På Mac kan man endda forhindre at brugere orienterer sig i de udsharede
direktories, du kan prøve flg. URL
http://www.photo-gallery.dk/oversigt/new_photos/nye_fotos_(3) - det
pågældene direktory findes på serveren, men den nægter at vise dig indholdet.


--
| Med venlig hilsen - Niels Riis Ebbesen |
| http://www.niels-ebbesen.net - Free-lance grafik & webdesign |
| http://www.photo-gallery.dk - Skandinaviens største fotoarkiv |
| http://home3.inet.tele.dk/elgo - Links til alverdens søgemaskiner |

---

Niels Ebbesen <info@niels-ebbesen.net> wrote:

> En ny orm spreder sig med lynets hast..!
>
<http://homepage.mac.com/jmfink/nimda.jpg>

Serveren er en gammel traktor, ppc 7200/90 og kun 12" skærm, derfor det
lille billede :)

....men den kan ikke dræbes (endnu i hvert fald)!


--
mvh Jesper http://homepage.mac.com/jmfink/
===========================================
| hjælp - jeg MANGLER en bolig i Kolding! |
===========================================

---

Niels Ebbesen <info@niels-ebbesen.net> wrote:

> og den
> sperder sig ved hjælp af noget Java til de brugere der besøger hjemmesiden.

Nej! Via javascript og browsere der ikke opføre sig ordentligt.

--
Mvh/re Jan Jonasen
jonasen (at) it (dot) dk

If I wanted culture, I'd eat yogurt.

---

Jan Oksfeldt Jonasen wrote:

> Nej! Via javascript og browsere der ikke opføre sig ordentligt.


Kunne du ikke lige så godt have skrevet Internet Explorer...?

--
| Med venlig hilsen - Niels Riis Ebbesen |
| http://www.niels-ebbesen.net - Free-lance grafik & webdesign |
| http://www.photo-gallery.dk - Skandinaviens største fotoarkiv |
| http://home3.inet.tele.dk/elgo - Links til alverdens søgemaskiner |