Hallo Christian,
deine Patch-Links scheinen alle veraltet zu sein. Die Sitestruktur bei
Microsoft �ndert sich ja leider st�ndig.
Andreas Roth
--------------------------------------
[EMAIL PROTECTED] *jetzt mit Chat*
http://www.EuphoriasChild.DarkTech.org
--------------------------------------
> -----Urspr�ngliche Nachricht-----
> Von: Christian Mairoll (Anti-Trojan.NET) [mailto:[EMAIL PROTECTED]]
> Gesendet: Mittwoch, 19. September 2001 08:00
> An: AspGerman Kaffeehaus
> Betreff: [aspdecoffeehouse] AW: Virus!
>
>
> hallo alexander,
>
> folgendes schreibt fa. ikarus (at):
>
> W32.NIMDA
>
>
> Trotz der angespannten politischen Lage, schrecken
> Virenschreiber nicht
> davor zur�ck, Ihre Werke und damit neue Sch�dlinge in Umlauf
> zu bringen.
> Die j�ngste Bedrohung geht dabei vom erstmal in Korea lokalisierten
> W32.Nimda Wurm aus. Das Virus zeichnet sich dadurch aus, da� es eine
> ganze Reihe von Vulnerability�s (Angreifbare L�cken im
> System) aufzeigt
> und ausnutzt um sich zu Verbreiten.
>
> Enormes Verbreitungpotential
>
> Auf den ersten Blick handelt es sich beim Nimda Virus um
> einen weiteren
> Mass-Mailer, also ein Virus, da� sich via eMail verbreitet.
> Das Virus durchsucht dazu alle HTM und HTML Dateien in den Tempor�ren
> Internet Foldern nach eMail Adressen ebenso wie es diese aus
> der "INBOX"
> des Mailprogramms auslesen kann. �ber einen eigenen SMTP Server
> verschickt sich das Virus an alle gesammelten Adressen.
>
> Aber nicht genug damit:
>
> Nach genaueren Analysen zeigt sich, da� das Nimda Virus sich nicht nur
> via eMail sondern auch wie der CodeRED via Sicherheitsl�cken im IIS
> (Internet Information Server) verbreiten kann.
>
> Dar�berhinaus ist Nimda das erste Virus, das seine Code auch gezielt
> �ber WebSites verbreitet. Das Virus ist in der Lage �ber
> infizierte PC�s
> nach "angreifbaren" WebSites zu suchen auf dem es seinen Code
> plazieren
> und zum Download bereitstellt.
>
> Das Virus infiziert daf�r alle .ASP, .HTM und .HTML Dateien sowie alle
> Dateien mit den Namen INDEX, MAIN und DEFAULT mit einem eigenen
> Javascript Code und legt damit seinen gesamten Code auf der
> infizierten
> Seite ab. Ein Besuch dieser Seite ohne entsprechende Absicherung des
> Browsers f�hrt zu einer weiteren Infektion.
>
>
> ACHTUNG:
> Die eMails die vom Virus erzeugt werden nutzen eine Vulnerability
> (Angreifbare L�cke im System) im MIME (Mailformat) dazu, da� eMail
> Attachments unter Outlook und Outlook Express automatisch,
> nur durch da�
> blo�e Lesen ohne Doppelklick auf das Attachment aktiviert
> werden k�nnen.
>
> Die gilt auch f�r Mails die �ber den Internet Explorer
> (Version 5.01 und
> 5.5 ohne Servicepack 2) abgerufen werden. Es empfiehlt sich jedoch
> dringlich den angebotenen Patch von Microsoft zu installieren.
>
> http://www.microsoft.com/technet/treeview/default.asp?url=/tec
> hnet/secur
> ity/bulletin/MS01-020.asp
>
> Kein Wunder also, da� das Nimda Virus in k�rzester Zeit durch mehrer
> hundert Infektionen auf sich auf aufmerksam machte. �sterreich hat das
> Virus am sp�teren Nachmittag des 18. September erreicht.
> Betroffen sind
> alle Windows-Anwender mit den Betriebssystemen Win95/Win98/WinME sowie
> WinNT und Win2000.
>
> Eindeutig zu erkennen ist das Virus NUR durch sein Attachment, das
> gleich wie bei dem nur seit wenigen Wochen aktiven W32. APOST.A, auf
> README.EXE lautet.
> Der Betreff wird durch das Virus unterschiedlich generiert und besteht
> im Regelfall aus einer verwirrenden Zahlen-Buchstaben Kombination. Das
> Mail behinh�lt dabei keinen Mailtext.
>
> Betreff: " .. zuf�lliger text "
>
> Mailtext: "leer"
>
> Attachment: README.EXE
>
> Gleich wie CodeRED kann das Nimda Virus �ber eine Unicode Attacke auch
> IIS (Internet Information Server) infizieren und sich verbreiten. Der
> Wurm scannt daf�r nach IP-Adressen auf IIS Servern. Dabei verh�lt sich
> das Virus gleich wie der CodeRED.C in dem es versucht das gleiche
> Backdoorprogramm (Trojaner) zu installieren.
>
> Sollte der Patch der diese L�cke f�r IIS Server schlie�t noch nicht
> eingespielt worden sein, empfiehlt sich diese Ma�nahme �beraus
> dringlich.
>
> http://www.microsoft.com/technet/security/bulletin/ms00-078.asp
>
>
> Nicht genug damit verbreitet sich das Virus auch �ber freigebene
> Verzeichnisse oder Platten �ber das Internet ebenso wie �ber interne
> Netze. Es nutzt dazu, wie schon ein anderes Virus (W32.CodeBlue) die
> sogenannte Microsoft Web Folder Transversal Vulnerability um in
> infizierten Netzen Laufwerke frei zu geben. Das Virus erzeugt
> daf�r auf
> jeder infizierten Maschine eigene Verzeichnisse die zus�tzlich frei
> gegeben werden. Auf WinNT und Win2000 PC�s und Servern handelt es sich
> dabei um Verzeichnisse die keine Passwort Abfragen mehr
> ben�tigen. Nach
> einem Reboot der befallenen Maschinen erh�lt der User GUEST
> zudem volle
> Administratoren Rechte.
>
> http://www.microsoft.com/technet/treeview/default.asp?url=/tec
> hnet/secur
> ity/bulletin/ms00-078.asp
>
>
> Dar�berhinaus kopiert sich das Virus als LOAD.EXE ins Windows System
> Verzeichnis und erzeugt eine eigene SYSTEM.INI um sicherzustellen, das
> es beim Reboot des PC�s auch verl�sslich wieder gestartet wird.
>
> Shell=explorer.exe load.exe -dontrunold
>
> Sicheres Indiz f�r das Vorhandensein des Wurms ist zudem die Existenz
> der von README.EML Dateien in allen Windows Verzeichnissen
> sowie Kopien
> des Wurms auf C:\, D:\ und E:\ mit dem Namen ADMIN.DLL.
>
> Seine Schadensfunktion besteht "zum Gl�ck NUR" darin, da� das Virus
> versucht soviel wie m�glich an Traffic zu erzeugen um befallene Netze
> damit zu �berlassten und wenn m�glich zum Ausfall zu bringen.
> Besonders
> in Mitleidenschaft gezogen werden dabei, wie beim CodeRED, wieder alle
> Kabelnetze.
>
> Tipp vom Virendoktor:
> Spielen Sie unverz�glich die von Microsoft angebotenen Patches ein !!
> Wir empfehlen mit Nachdruck keine Attachments mit der Endung EXE zu
> starten, von denen nicht sicher gestellt ist, welche Aktionen sie
> tats�chlich ausl�sen. Stehen Sie JEDEM ausf�hrbaren
> Dateianhang kritisch
> gegen�ber! L�schen Sie Attachments im Zweifelsfall. Starten Sie keine
> Attachments ohne diese vorher auf Viren gepr�ft zu haben.
> Aktivieren Sie wenn m�glich einen eMail Filter, der Attachments, die
> Executables enthalten, abblockt bzw. in eigens daf�r vorgesehene
> Quarant�nebereiche stellt.
> Ein Update Ihres Virenschutzprogammes ist empfehlenswert.
>
>
> gr�sse
>
> mc [www.emsi.at]
>
>
> // -----Urspr�ngliche Nachricht-----
> // Von: Ganz Alexander [mailto:[EMAIL PROTECTED]]
> // Gesendet: Mittwoch, 19. September 2001 08:51
> // An: AspGerman Kaffeehaus
> // Betreff: [aspdecoffeehouse] Virus!
> //
> //
> // Hallo Allerseits!
> //
> // Wir haben gerade festgestellt, da� alle unsere
> // Internetserver von dem neuen Virus befallen sind. Dieser
> // installierte sich nun fr�hlich bei allen IE Usern unter 6
> // ohne SP2 bevor wir sie vom Netz genommen haben. Bisher habe
> // nur Infos gefunden, da� es diesen Virus gibt... Aber was ich
> // kann ich dagegen tun.
> // Gibt es schon ein Gegenmittel?
> //
> //
> // Viele Gr�sse
> // Alex!
> //
> // | [aspdecoffeehouse] als [EMAIL PROTECTED] subscribed
> // | http://www.aspgerman.com/archiv/aspdecoffeehouse/ =
> // Listenarchiv Sie
> // | k�nnen sich unter folgender URL an- und abmelden:
> // |
> // http://www.aspgerman.com/aspgerman/listen/anmelden/aspdecoffe
> ehouse.as
> | p
>
>
> | [aspdecoffeehouse] als [EMAIL PROTECTED] subscribed
> | http://www.aspgerman.com/archiv/aspdecoffeehouse/ = Listenarchiv
> | Sie k�nnen sich unter folgender URL an- und abmelden:
> |
> http://www.aspgerman.com/aspgerman/listen/anmelden/aspdecoffee
house.asp
| [aspdecoffeehouse] als [email protected] subscribed
| http://www.aspgerman.com/archiv/aspdecoffeehouse/ = Listenarchiv
| Sie k�nnen sich unter folgender URL an- und abmelden:
| http://www.aspgerman.com/aspgerman/listen/anmelden/aspdecoffeehouse.asp
