Neuer Virus/Wurm-Nimda.A
 

Vorsicht Outlook + Outlook Express Nutzer
Näheres auf

<http://www.securityfocus.com/news/253>


g17

Squid-Proxy filtert Nimda-Wurm

Der Nimda-Wurm installiert auf befallenen Web-Servern eine Datei namens "readme.eml" und baut JavaScript-Code in die Webseiten ein, die diese Datei nachladen. Besucht ein Surfer den befallenen Web-Server, lädt sein Browser diese Datei und führt sie bei manchen Versionen des Internet Explorer sogar ungefragt aus.
In Firmennetzen kann ein Proxy-Server dafür sorgen, dass die gefährliche Datei nicht auf den Rechner der Surfer gelangt. Die folgenden Einträge in der Konfigurationsdatei "squid.conf" des Web-Proxies Squid bewirken, dass dieser Dateien mit der Endung ".eml" blockiert:
# .eml-Dateien ausfiltern
acl worm urlpath_regex -i \.eml$
http_access deny worm Gegen Infektion durch E-Mail schützt dies natürlich nicht.

scheint so als würde es für die webadmins hier eine sehr lange nacht werden

hätte ich nicht den netcaptor mit dem popupcaptor, könnte man das wcm forum gar nicht mehr betrachten:

andauernd öffnet sich die url http://*.tripple.at/readme.eml (* steht für adsxx und xx für zahlen) und die infiszierte datei soll ausgeführt werden

wie erkenn ich, ob ich infiziert bin ?

http://www.heise.de/newsticker/data/ju-18.09.01-000/

dort der link bei symantec oder andere

das wcm forum ist jedenfalls infisziert

Schau auf <http://vil.nai.com/vil/virusSummary.asp?virus_k=99209>

Die wissen jetzt schon mehr, mußen mit Hochdruck arbeiten, vor 2 Stunden war nur eine Warnung.Jetzt stehen schon einige Reg. Einträge.


g17


UPS! Überschnitten.

Bei mir in der FW schlagen lauter Italiener und Franzosen ein.

http://www.f-secure.com/v-descs/nimda.shtml

ist bis jetzt die beste erklärung , die ich gefunden habe

ganz schön raffiniert der wurm

Frage
 

Hallo


Was ist ein WURM TROJANA VIRUS wo liegt der Unterschied ???


TIGGER :confused:

dem virenscanner sei dank! :bier:

hoffe das mit der anlage haut hin.:)

einen hab ich noch...

mir is des auch grad aufgefallen, aber es is ned des wcm forum befallen, sondern der tripple.at webserver, von dem die werbebanner kommen, die oben im forum eingeblendet werden....

jedenfalls schaut des ding ned gut aus, wenn mans im notepad betrachtet.... :confused:

...und i wunder mi was da dauernd aufpopt :D . Weg damit aber schnell :ms: . Wird jo richtig gfährlich sich hier im Forum zu bewegen. ;)

Auf der Linuxmaschine ist er lustig. Ich habe in mir runtergeladen und mit Opera geöffnet. Er versucht krampfhaft Befehle auszuführen die es nicht gibt. LOL.


g17

Interressant, und ich hab mich schon gewundert warum dauernd ein Fenster aufgeht und mich fragt welches Programm er denn zum Ausführen verwenden soll..........
Und jetzt hat mein Virenscanner gerade angeschlagen !!!
Ich hab ihn - Danke lieber WCM Server !:D :lol: :lol: :lol:
:tux: :tux: :tux: :tux: :tux: :tux: :p

@IT_Micha

Steht als 3 + 5 Posting v Hanneman das tripple ad verseucht ist

@g17

Hab i glesen, danke. Ich hab mich vorher gewundert und schon bei Google gestöbert was sich da zu speichern wünscht :D .

Das Forum ist zwar (jetzt) virenverseucht, aber man erfährt wenigstens sofort mit was man sich seinen Rechner versaut :lol: .

Da werden heute wohl einige ein Nachtschichtchen einlegen müssen ;) .

@IT_Micha

Um ca. 01h waren einige Antiverenseiten wegen Überlastung nicht erreichbar, da werden viele schon eine Medizin gesucht haben.


g17

Fast hätte es mich auch erwischt - der Wurm ist noch aktiv bei
dem Werbebanner.

@Senatoren/@roots: kann man den Banner derweil nicht sperren?

Ciao Oliver

Hmm, der Arbeitsrechner ist anscheinend auch verseucht. Habe jetzt zwar jedes Scripting deaktiviert, aber ich glaube es ist schon zu spät. Hat jemand einen Tip wie ich den Wurm wieder loswerde.

Mit den NAV2001 bringst ihn wieder weg - zumindest kann man die infizierten Dateien isolieren. Hat bei mir geklappt.

Ciao Oliver

hi

also wie bekomme ich jetzt mit das ich ob ich den schass auf meinen kisten habe oder nicht???

ich hatte erst code red auf 2 rechner und jetzt rechts!!!!

was kann ich dagegen tun???

wei sieht es bei IE 6.0 aus und outlook 6.0???

Thx

Ich der Arbiet haben wir Netshield und der hat sich bisher noch nicht beschwert. Allerdings weis ich auch nicht ob der Rechner wirklich verseucht ist. Jedenfalls ist das Fenster aufgegangen und im Hintergrund geblieben.

@Nightman

suche deinen rechner nach README.EML bzw. load.exe ab (letztere trägt sich in system.ini ein)

sind sie vorhanden ist der rechner vermutlich infisziert


für ie benutzer empfiehlt sich scripting und active x zu deaktivieren oder vorübergehend mit einem alternativbrowser zu surfen bzw. den virenscanner zu updaten

ich habe ebenfalls ie6 , bei mir wurde nach einem pop up gefragt, mit welchem programm die datei geöffnet werden soll


das entscheidende kriterium ist wohl,ob die datei automatisch ausgeführt wird, ab diesem zeitpunkt ist man infisziert und dies erkennt man am besten mit hilfe einer firewall oder du meter, da die anschliessenden portscans den traffic in die höhe schnellen lassen

hi

in meiner system.ini steht genau das

und jetzt??

PS: es sind auf einmal alle meine games plus saves weg(wie wenn sie deinstalliert worden sind)

aber befor ich ins forum geschaut habe habe ich noch ein wenig gespielt(kann das der wurm gewesen sein) wenn nicht ist das ein eigenartiger zufall

THX

@Nightman

mir ist nicht bekannt, dass der wurm dateien löscht

die primäre intention ist es das netzwerk lahmzulegen (wobei die schlupflöcher von microsoft wieder einmal gnadenlos ausgenutzt werden)

der system .ini zu nach schliessen scheinst du noch clean zu sein

Die System.ini ist OK!
(ich habe gerade eine neue W2000-Ws aufgesetzt - und die ist ident)

Ciao Oliver

Also der Arbeitsrechner scheint sauber zu sein, keine System.ini Einträge und auch keinreadme.eml bzw. load.exe File auf der Platte.

Jetzt muß ich am Abend nur noch meinen Heim PC scannen.

hi

thx euch

aber es idt schon eigenartig das nechdem ich im forum war alle meine games weg sind (diablo2, quake3, halflife, counter-strike, Age of Empiere, Black ane white)finde ich schon eigenartig

naja muss wohl wieder installieren

Dort gibt es einen Selbsttest:

<http://www.securityspace.com/smysecu..._nmda_amm.html>

Könnte aber sein,das er nur für Reg. User ist, bin dort auf der Mailingliste. Noch keine Zeit zum Check gehabt.

15 Min den Pc laufen mehr versuchte Zugriffe als zu Code Red Spitzenzeiten.


g17