mboost-dp1

unknown

Virus i Internet Explorer

- Via Børsen -

Børsen advarer imod en virus der spreder sig selv uhæmmet via IE uden man opdager det.





Gå til bund
Gravatar #1 - DK_112
18. sep. 2001 18:37
Hvaaa undrer vi os eller er det bare normalt det her !!

Virus + Computer = Microsoft !!

Hvornår mon de laver noget der forhindrer at virus spredes gennem deres produkter ?
Gravatar #2 - fzkuno
18. sep. 2001 18:50
Hmm.. nu gjorde jeg som de sagde.. disablede active scripting.
resultatet var naturligvis at jeg ikke kunne skrive noget indlæg.. DOH
Gravatar #3 - Net-Meister
18. sep. 2001 19:43
Personligt er jeg ingen MS fan men jeg syntes at det er urimeligt at give MS ksylden for at der går virus i deres produkter. MS prøver jo at gøre det så virus sikkert så muligt men eftersom at de laver verdens mest brugte produkter så er det jo svært at holde det helt virus frit, når Vira nørderne laver et virus til et MS produkt ved de at det kommer til at ramme mange og der kommer opmærksomhed omkring den virus de har lavet. I teorien er du jo lige så udsat selvom du bruger et hvilket som helst andet produkt.
Det er det samme med hotmail.... Alle siger at det er en pis mail side fordi at passwordet er så nemt at cracke men eftersom der er millioner af Hotmail brugere må det jo være en go' mail udbyder. Dem der der siger at Hotmail.com var en god og sikker mail udbyder før MS MSN tog er da lidt for dumme, selv om MS har ændret i en del på hotmail har de jo nok ikke sat sikkerheden ned. De har jo nok derimod sat den op!!!!
Der er da intet i vejen med den side programmeret på, den efterlader jo ikke flere sikkerheds huller end en hvaer anden mail udbyder. Du er [Igen] i terorien lige så udsat hvis du er oprettet hos FX ofir.dk,mail.dk eller alle andre mail sites.
So stop blaming microsoft
Gravatar #4 - XTC
18. sep. 2001 19:51
Så er M$ med fremme igen!

- Ville bare lige nævne at jeg "i sin tid" var vinderen af en go' gang code red på min private IIS, - og nu er hele min HD fyldt med infectede .exe's med Nimda... Ville bare spørge om der er nogen der ved hvor man kan downloade et program der fjerne lortet fra maskinen igen?

Bruger i øjeblikket AVP men det er sq ikke opdateret til at fjerne Minda - endnu...
Gravatar #5 - jessonde
18. sep. 2001 19:56
Troede da ellers newz.dk var gået hen og blevet så seriøs, at vi slap for diverse nyheder om virus.
Gravatar #6 - TcaT
18. sep. 2001 19:57
LOL

Det er da ikke første gang man hører om faren ved virus, når man browser en side.
Jeg har flere gange oplevet, at min NAV har blokeret en fil indeholdende en virus, når man browser bestemte "luskede" sider.
Så mon ikke de fleste størrere AV producenter har en løsning klar i morgen eller overmorgen.
Gravatar #7 - TcaT
18. sep. 2001 20:00
Lidt mere fra http://www.Neowin.com.

"While updating my virus thingy on our network, I spotted this recent addition to respective virus databases, not much details at the moment, so if anyone has any experiences/more info, post them here. A computer worm that spreads to both servers and PCs running Microsoft software flooded the Internet with data on Tuesday. Known as "Nimda" or "readme.exe," the worm spreads by sending infected e-mails, copying itself to computers on the same network and compromising Web servers using Microsoft IIS web software. Analysis of the worm is still in the early stages, experts said. The server component of the virus exploits an old and previously patched flaw in IIS called the Unicode Directory Traversal vulnerability. Apparently, no common antivirus software was able to detect the worm as of Tuesday morning, though several companies are close to producing updated definitions to identify and block the program. In addition to its ability to cross between servers and PCs, the Nimda worm seems to be more virulent because it automatically executes in Microsoft's Outlook e-mail software under the program's "medium" security setting. "There appears to be a MIME exploit," said Eric Chien, chief researcher for antivirus software maker Symantec's European operations. "It appears that it is doing some kind of exploitation in e-mail." <A href="http://www.sarc.com/" target=_blank>SARC</A> has the following details... There is a new mass-mailing worm that utilizes email to propagate itself. <STRONG>The threat arrives as readme.exe in an email.</STRONG>In addition, the worm sends out probes to IIS servers attempting to spread by using the Unicode Web Traversal exploit similar to W32.BlueCode.Worm. Compromised servers may display a webpage prompting a visitor to download an Outlook file which contains the worm as an attachment. Also, the worm will create an open network share allowing access to the system. The worm will also attempt to spread via open network shares."
Gravatar #8 - sedroc
18. sep. 2001 20:32
Jow, den er go nok.. jeg fik den tilsendt kl 16:19 fra en der havde mig i adresse kartoteket... anede ikke at det var en virus, men blev mistænksom over en fil, readme.exe, ville åbnes, eller gemmes, så snart jeg åbnede mailen.

så jeg gemte den bar. Min fuldt opdaterede McAfee kunne ikk se problemer i den... Åbnede den i notepad, og så den indholdte forskelligt script og binær koder.

Den har forresten et ikon som et HTML dokument, nok for at narre fjende. Den fylder 56kb.

Citater fra readme.exe i notepad:

"Concept Virus(CV) V.5, Copyright(C)2001 R.P.China"

"KERNEL32.dll" (har jeg ikk lyst til at få fucket up)

""

Har den liggende, hvis nogen vil ha et eksemplar ;)
Gravatar #9 - TcaT
18. sep. 2001 20:50
Patchen er her:
Microsoft Internet Information Server 4.0: http://www.microsoft.com/Downloads/Release.asp?Rel...
Microsoft Internet Information Server 5.0: http://www.microsoft.com/Downloads/Release.asp?Rel...
Mere info:http://www.microsoft.com/technet/security/bulletin...http://www.symantec.com/avcenter/venc/data/w32.nim...
(Det er en gammel patch, da det viser sig at hullet har været kendt i lang tid, så folk der ikke patcher deres system kan muligvis blive ramt.)
Gravatar #10 - Simm
18. sep. 2001 21:05
Der står at det er en Pre-SP2 hotfix...så det er vel ikke noget man behøver at installere, hvis man kører Windows 2000 med SP2, vel?
Gravatar #11 - TcaT
18. sep. 2001 21:17
simm:

Fixen er inkluderet i SP2.
(Men for en sikkerheds skyld kan du jo lige installere den igen.)
Gravatar #12 - gugi
18. sep. 2001 21:21
<STRONG>sedroc</STRONG>> Jeg vil gerne have den.. bs at wasd dk :o)

<STRONG>TcaT</STRONG>> det skulle vel ikke være nødvendigt?

Jeg kan ikke forstå hvorfor folk <STRONG>ikke</STRONG> opdaterer deres webservere.. er det så svært med IIS?

Jeg er da ikke bleg for at lukke min httpd ned i de tre sekunder det tager... (apache)

Jeg btw altid hadet HOTMAIL, også før MS overtog - dengang var NET@DDRESS da vildt overlegen - jeg ved dog ikke noget om det mere, men NET@DDRESS er vist blivet halvcomerciel.
Gravatar #13 - Simm
18. sep. 2001 21:38
TCat: Go' idé - selvom min server godtnok sjælden kan nåes fra nettet :)
Gugi: Hvorfor webservere sjældent opdateres? Det er fordi administratorerne er luddovne...Jeg fatter heller ikke hvorfor de ikke tager sig sammen og opdaterer så snart der er patches klar. Med Windows Update tager det jo nada tid. Men okay, serveren skal rebootes og dermed kan de ikke prale med 99.99 % uptime
Gravatar #14 - TcaT
18. sep. 2001 22:02
Simm:

Jeg mener da ikke jeg er luddoven :-)

gugi:

Nej det skulle ikke være nødvendigt, men så er man jo 100% sikker :-)
Gravatar #15 - Up2NoGood
18. sep. 2001 22:30
<STRONG>XTC</STRONG> hvis du ikke er kommet af med din nimda virus, så har de på siden http://www.centralcommand.com/scan.html en "online" virus scan. De kender til den, derfor vil jeg da også gå ud fra at de har opdateret deres "online" virus scanner til at kunne fjerne denne virus. NB: Virus scanneren fungerer ved hjælp af et ActiveX component...
Gravatar #16 - XTC
18. sep. 2001 22:42
Hey Igen Igen,

Tak for indlægget er ved at scanne i skrivende stund... Vil bare lige nævne at jeg <STRONG>er </STRONG>SP2'et på min Win2K Pro, og jeg fik ham alligevel på besøg...

Over and Out!

/XTC
Gravatar #17 - Up2NoGood
18. sep. 2001 22:48
<STRONG>XTC</STRONG> np...
Men gider du ikke lige at skrive et indlæg, når du er færdig med scanningen, om det virker. Jeg havde "desværre" ikke mulighed for at teste den da jeg ikke havde/har nogen vira...
Gravatar #18 - angelenglen
19. sep. 2001 01:22
At admins ikke opdaterer deres IIS betyder ikke at de er dovne... mange har installeret IIS til at hoste deres egen personlige hjemmeside hejmmefra, og det er ikke sikkert de ved hvor vigtigt det er at have sikerheden i top.
-Jeg kender selv en der fik den nye på besøg... han har nu fjernet koden fra html-dokumenterne, og tror derfor han er fri for virussen... næppe, men nu er han ikke online mere, så jeg kan ikke få fat i ham før imorgen :-( Skidt, for hans web-server kører stadig, og inficerer muligvis flere i løbet af natten.. :-(
Gravatar #19 - Pernicious
19. sep. 2001 07:29
<STRONG>Jessonde:</STRONG> Det er altså heller ikke seriøst når sådan cirka alle andre nyhedssites skriver om den? kan i flæng nævne, Computerworld, Comon, JP osv osv.
Gravatar #20 - cold_dane
19. sep. 2001 08:01
Den er pænt i udbrud herhjemme - blev 'bombet' af den hele natten på min private server - ligger blandt andet mærke til, at hvis man forsøger at gå ind på de givne IP adresser så rammer man forbløffende mange Clan-sider... Så til alle jer seje IT-vidende clan-medlemmer: Patch da for helv... jeres maskiner - også selv om i ikke har en WWW server kørende - så har i sikkert en IIS kørende af en anden årsag... Fx. fordi i har installeret WIN2000.

I flæng kan nævnes:
80.62.134.42 80.62.33.253 80.62.119.15080.62.89.110 80.62.8.113 80.62.119.3980.62.118.22980.62.12.9880.62.142.4380.62.56.61
som alle trænger gevaldigt til en gang virus/orme bekæmpelse... og det her var kun et MEGET lille udpluk af nattens logfiler...

Og til jer der mener virus advarsler er tidsspilde eller fup: GROW UP!
Gravatar #21 - sKIDROw
19. sep. 2001 08:15
Godt min maskine kørte linux i nat, må lige checke min apache log...
Genstartede ind windows 2k hertil morges har heldigvis ikke fået noget i den stil... :o)
Gravatar #22 - sKIDROw
19. sep. 2001 08:19
Selvomg jeg ikke er vild med microsoft vil jeg lige kommentere angrebene på MS...
Har i nogensinde tænkt over at den overvejende grund til at det bliver skrevet så mange exploids til IIS er at hackere/crackere ikke kan lide bill gayts... ups mener gates.. hehe
derfor gør de alt for at ydmyge ham, alt software har et svagt punkt et sted.
og det vil jo unægteligt blive fundet når de har det med at focusere på MS alle sammen... ;o)
Gravatar #23 - Q-Rious
19. sep. 2001 08:59
Symantec er ude men en ny virus difination til Norton antivirus..

Jeg havde den ikke selv (øvs skulle ellers til at lege reversenginer)

Men også virius skjoldet virker.. Tro mig *g*
----
<STRONG>sKIDROw</STRONG> « Det er ikke kun fordi folk ikke kan lide microsoft at der bliver udviklet så mange viruser der køre på den platform.

Den strørste grund er nok at windows er det suverent mest udbrede <STRONG>clientside</STRONG> styresystem i verden (Er der vist en anden der allrede har sagt)... Men microsofts programmerns største problem er deres brugervenlighed..
Det kræver absolut intet viden om sikkerhed eller ligende for at bruge et program som Outlook. Og selvom der kommer en fin popup hvor der står noget hen i retningen af ..

"Dette er sq nok en virus så jeg vil sq ikke anbefale at du starter den med mindre at du kender arfsenderen rimeligt godt, og ved hvad det er der bliver sendt"

Så trykker folk gladeligt ja til at køre filen.. folk ser de her skide sikkerheds popups nærmest uanset hvad de laver.. så de klikker bare på yes pr. refleks.
Gravatar #24 - [E]Mnemonic
19. sep. 2001 09:24
Jeg har lidt daja vu med hensyn til denne her diskution, men jeg skal lige gøre opmærksom på at der er dobbelt så mange Apache servere som der er ISS. Og apache er ikke i problemer her, så det med at M$ er det mest udbredte Software er kun delvis rigtigt.

http://www.netcraft.com/survey/

Regards Mnemonic..
Gravatar #25 - XTC
19. sep. 2001 09:25
<STRONG>Up2NoGood</STRONG> Hermed et lige status-indlæg som lovet... Virusen blev <STRONG>ikke</STRONG> fundet af centralcommand.com ... blev erklæret 100% virusfri - men mit AVP er begyndt at brokke sig gevaldigt - den kan (med nye opdateringer) detecte virussen men ikke fjerne den - HJÆLP ;o)
Gravatar #26 - sKIDROw
19. sep. 2001 10:22
=>XTC

De arbejder på højtryk med at analysere den, så indtil da skal vi nok ikke regne med så meget... ;)

I mellemtiden ville jeg nok påbegynde en backup af dine evt. livsnødvendige ting...
MP3, DIVX, ISO og og sidst men ikke mindst alle dullebillederne... hehe
Gravatar #27 - [E]Desperado
19. sep. 2001 11:36
http://uptime.netcraft.com/up/graph/?host=www.newz...

LOL
Gravatar #28 - TYBO
19. sep. 2001 12:23
Jeg har koden som de ligger på webserverne hvis det var noget :)
Gravatar #29 - Q-Rious
19. sep. 2001 12:31
<STRONG>TYBO</STRONG> «
Tjao.. sidder og piller lidt i den i forvejen.. er mest intraseret i readme.exe filen pt.. har selv eml filen men har ikke nosser til at åbne den i outlook.. *gg*
Gravatar #30 - Deternal
19. sep. 2001 13:57
Sophos AV er kommet med en IDE fil til Ninda (som så ofte før er de først :P).

Sophos er bare ikke helt så fedt hvis man ikke har en server - men med en server er det kanint.

Btw - hvordan kan man sætte win NT/2k til automatisk at checke for updates + update hver nat kl 24? ;)

Afaik gør de fleste det manualt, hvilket er ret dræbende hvis man har bare 10 servere, og så er det ligegyldigt at man kun skal hen til 1-3 sider for at update. Automatik er i denne sammenhæng guld værd.
Gravatar #31 - Q-Rious
19. sep. 2001 14:10
<STRONG>[E]Mnemonic</STRONG> « Fin statestik.. men den medregner så vidt jeg kan se kun webserere med tilsluttet domaine.. alså ikke alle webserevere..
Man skal lige huske på at praktisk talt alle der har instaleret en windows 2000 har en IIS kørende... og der er f****g mange!
Du kan jo evt tage et lille kig på stemme boksen ude i venste side og se hvad den adsløre om private nørder. :)
Gravatar #32 - noller
19. sep. 2001 14:14
Har ikke helt fattet hvordan man bliver smittet med virusen

Kan nogen forklare det nærmere ?
Hvordan ved jeg om jeg har den ?
Gravatar #33 - TYBO
19. sep. 2001 14:28
noller: du bliver smittet hvis du bruger internet explore og surfer og rammer et site som har det og ikke har installert de rigtige updateringer fra Microsoft.

Find et antivirus program som kan finde det.
Den nyeste opdatering af Norton finder den.
HUSK at Nimda kun er 8 dage gammel så hvis du ikke har opdatert siden da er du på skideren :)
Gravatar #34 - Chronus
19. sep. 2001 16:28

Vil bare lige spørge om jeg nu er sikret (ret indviklende debat). Jeg kører Win2k Prof. og har lige opdateret mit NAV. Er det så nødvendigt at disable active scripting som det er beskrevet på Virus112?So far kører jeg bare Netscape (Møg-Browser - lad være med at flame mig, men jeg har intet valg. Nogle vil nok mene at det er et valg, men jeg føler mig drevet af en ukendt kraft... ;) )
Gravatar #35 - TcaT
19. sep. 2001 16:44
<STRONG>[E]Mnemonic</STRONG>:

Det sKIDROw mener, er at MS er det mest brugte, ikke som webserver men som OS samt email klient
Selvfølgelig ville jeg da også skrive en virus til Windows, da denne ville ramme langt flere, end hvis den var til Linux.

Pr. default er IIS ikke installeret på Pro udgaven af Win2K, men på server versionen er den. Så hovedparten af de private brugere, er sikret på lige dette område.
Desuden har patchen til IIS været tilgængelig i lang tid nu, og de fleste AV programmer kan også beskytte imod den nu.
Gravatar #36 - TcaT
19. sep. 2001 16:45
ps.

Jeg har brugt IE hele dagen og har ikke været i nærheden af denne såkaldte trussel.
Gravatar #37 - west
19. sep. 2001 18:51
McAfee siger den "rammer" ie501+55 uden sp2....
http://vil.nai.com/vil/virusSummary.asp?virus_k=99...

Hvad så med os der kører ie6, skal vi så være bange? ;)
Gravatar #38 - XTC
19. sep. 2001 19:25
<STRONG>west</STRONG>
Vær Bange - meget Bange =) ... jeg kører IE6.0 på en win2k pro platform med SP2... og alligevel har jeg NIMDA ud over det hele!

Hvordan jeg har fanget ham kan jeg ikke sige - men truslen er reel..!
Gravatar #39 - west
19. sep. 2001 19:31
<STRONG>XTC</STRONG>
Damn.....anywayz, takker :)

Tror sq lige jeg finder en Opera frem så ......
Gravatar #40 - TcaT
19. sep. 2001 20:04
http://vmyths.com/hoax.cfm?id=267&page=3
Gravatar #41 - west
19. sep. 2001 20:13
Prøvede du på at sige noget TcaT?
(linket virker ikke ... ;)
Gravatar #42 - Onde Pik
19. sep. 2001 20:14
Jeg køre XP og har ikke oplevet noget. Hvad er symptomerne?
Gravatar #43 - CableCat
19. sep. 2001 20:50
gratis værktøj til at fjerne virusen:
http://www.centralcommand.com/removal_tools.html

eller:
http://kom.auc.dk/~pmr/files/antinimda.exe
Gravatar #44 - TcaT
19. sep. 2001 22:19
west:

Linket skulle da gerne virke ?!?

Men her er ellers et lille uddrag:

"Obviously, Vmyths predicts hysterical Internet users will clog email servers when they forward virus alerts to everyone they know. Obtain expert virus advice from virus experts, not from CNN or the attorney general. Stay calm. Stay reasoned. And stay tuned to Vmyths."

Min pointe: Denne virus bliver blæst op!
Gravatar #45 - TYBO
20. sep. 2001 06:48
<STRONG>Chronus</STRONG>: Hvis du har den nyeste opdate af NAV har du intet at være bekymret for.
Den fanger virusen så snart du går ind på et smittet site.
(Har selv prøvet det :))
Gravatar #46 - Praetorian
20. sep. 2001 08:20
Mcafee Anti Virus er også i stand til at finde og fjerne Nimda, og har kunne gøre det siden i går eftermiddags.
Gravatar #47 - sKIDROw
20. sep. 2001 08:54
Kunne være jeg skulle fjerne det snavs til IIS fra mit arbejdes server... ;o)
Gravatar #48 - TcaT
20. sep. 2001 09:06
sKIDROw:

Ja, hvis I ikke bruger IIS, hvorfor så have det installeret?

Jeg har også fjernet IIS fra min egen arbejds pc.
(W2K server)
Gravatar #49 - gugi
20. sep. 2001 09:09
<STRONG>TYBO:</STRONG> ja tak!
bs at wasd dk
Gravatar #50 - TYBO
20. sep. 2001 11:04
gugi toooo late...slettede det i går
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login