Neuer Virus/Wurm-Nimda.A

g17 · 18.09.2001, 23:22

Vorsicht Outlook + Outlook Express Nutzer
Näheres auf

<http://www.securityfocus.com/news/253>

g17

spunz · 19.09.2001, 00:10

Squid-Proxy filtert Nimda-Wurm

Der Nimda-Wurm installiert auf befallenen Web-Servern eine Datei namens "readme.eml" und baut JavaScript-Code in die Webseiten ein, die diese Datei nachladen. Besucht ein Surfer den befallenen Web-Server, lädt sein Browser diese Datei und führt sie bei manchen Versionen des Internet Explorer sogar ungefragt aus.
In Firmennetzen kann ein Proxy-Server dafür sorgen, dass die gefährliche Datei nicht auf den Rechner der Surfer gelangt. Die folgenden Einträge in der Konfigurationsdatei "squid.conf" des Web-Proxies Squid bewirken, dass dieser Dateien mit der Endung ".eml" blockiert:
# .eml-Dateien ausfiltern
acl worm urlpath_regex -i \.eml$
http_access deny worm Gegen Infektion durch E-Mail schützt dies natürlich nicht.

Hanneman · 19.09.2001, 00:38

scheint so als würde es für die webadmins hier eine sehr lange nacht werden

hätte ich nicht den netcaptor mit dem popupcaptor, könnte man das wcm forum gar nicht mehr betrachten:

andauernd öffnet sich die url http://*.tripple.at/readme.eml (* steht für adsxx und xx für zahlen) und die infiszierte datei soll ausgeführt werden

xenon · 19.09.2001, 00:46

wie erkenn ich, ob ich infiziert bin ?

Hanneman · 19.09.2001, 00:51

http://www.heise.de/newsticker/data/ju-18.09.01-000/

dort der link bei symantec oder andere

das wcm forum ist jedenfalls infisziert

g17 · 19.09.2001, 00:55

Schau auf <http://vil.nai.com/vil/virusSummary.asp?virus_k=99209>

Die wissen jetzt schon mehr, mußen mit Hochdruck arbeiten, vor 2 Stunden war nur eine Warnung.Jetzt stehen schon einige Reg. Einträge.

g17

UPS! Überschnitten.

Bei mir in der FW schlagen lauter Italiener und Franzosen ein.

Hanneman · 19.09.2001, 01:05

http://www.f-secure.com/v-descs/nimda.shtml

ist bis jetzt die beste erklärung , die ich gefunden habe

ganz schön raffiniert der wurm

TIGGER · 19.09.2001, 02:03

Hallo

Was ist ein WURM TROJANA VIRUS wo liegt der Unterschied ???

TIGGER

wickie · 19.09.2001, 02:44

dem virenscanner sei dank!

hoffe das mit der anlage haut hin.

wickie · 19.09.2001, 02:45

einen hab ich noch...

18.09.2001, 23:22	#1
g17 Elite Registriert seit: 13.07.2001 Beiträge: 1.339	Neuer Virus/Wurm-Nimda.A Vorsicht Outlook + Outlook Express Nutzer Näheres auf <http://www.securityfocus.com/news/253> g17

19.09.2001, 02:03	#8
TIGGER Veteran Registriert seit: 12.06.2001 Alter: 53 Beiträge: 484	Frage Hallo Was ist ein WURM TROJANA VIRUS wo liegt der Unterschied ??? TIGGER

19.09.2001, 00:10	#2
spunz Super-Moderator Registriert seit: 22.03.2000 Beiträge: 9.666	Squid-Proxy filtert Nimda-Wurm Der Nimda-Wurm installiert auf befallenen Web-Servern eine Datei namens "readme.eml" und baut JavaScript-Code in die Webseiten ein, die diese Datei nachladen. Besucht ein Surfer den befallenen Web-Server, lädt sein Browser diese Datei und führt sie bei manchen Versionen des Internet Explorer sogar ungefragt aus. In Firmennetzen kann ein Proxy-Server dafür sorgen, dass die gefährliche Datei nicht auf den Rechner der Surfer gelangt. Die folgenden Einträge in der Konfigurationsdatei "squid.conf" des Web-Proxies Squid bewirken, dass dieser Dateien mit der Endung ".eml" blockiert: # .eml-Dateien ausfiltern acl worm urlpath_regex -i \.eml$ http_access deny worm Gegen Infektion durch E-Mail schützt dies natürlich nicht.

19.09.2001, 00:38	#3
Hanneman Elite Registriert seit: 12.12.1999 Beiträge: 1.229	scheint so als würde es für die webadmins hier eine sehr lange nacht werden hätte ich nicht den netcaptor mit dem popupcaptor, könnte man das wcm forum gar nicht mehr betrachten: andauernd öffnet sich die url http://.tripple.at/readme.eml ( steht für adsxx und xx für zahlen) und die infiszierte datei soll ausgeführt werden

19.09.2001, 00:46	#4
xenon Master Registriert seit: 10.01.2001 Beiträge: 763	wie erkenn ich, ob ich infiziert bin ?

19.09.2001, 00:51	#5
Hanneman Elite Registriert seit: 12.12.1999 Beiträge: 1.229	http://www.heise.de/newsticker/data/ju-18.09.01-000/ dort der link bei symantec oder andere das wcm forum ist jedenfalls infisziert

19.09.2001, 00:55	#6
g17 Elite Registriert seit: 13.07.2001 Beiträge: 1.339	Schau auf <http://vil.nai.com/vil/virusSummary.asp?virus_k=99209> Die wissen jetzt schon mehr, mußen mit Hochdruck arbeiten, vor 2 Stunden war nur eine Warnung.Jetzt stehen schon einige Reg. Einträge. g17 UPS! Überschnitten. Bei mir in der FW schlagen lauter Italiener und Franzosen ein.

19.09.2001, 01:05	#7
Hanneman Elite Registriert seit: 12.12.1999 Beiträge: 1.229	http://www.f-secure.com/v-descs/nimda.shtml ist bis jetzt die beste erklärung , die ich gefunden habe ganz schön raffiniert der wurm

19.09.2001, 02:44	#9
wickie Elite Registriert seit: 05.09.2000 Ort: Graz Alter: 48 Beiträge: 1.088	dem virenscanner sei dank! hoffe das mit der anlage haut hin.

19.09.2001, 02:45	#10
wickie Elite Registriert seit: 05.09.2000 Ort: Graz Alter: 48 Beiträge: 1.088	einen hab ich noch...

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)