VIRUS ALERT - W32/Nimda@MM

0
anonim
Hızla yayıldığı belirtilen bu ' worm ' hem e-mail attachment ile ( readme.exe ) hem de Microsft IIS serverda 15 Mayıs 2001'de bulunan bir güvenlik açığını ( PWS Escaped Characters Decoding Command Execution Vulnerability ) kullanarak yayılabilmektedir. Ayrıca, Internet Explorer 5.0 veya 5.5 kullanılarak web ( http ) üzerinden mailboxlara ( hotmail, yahoo, vs..) erişim söz konusu olduğunda, yine bir başka güvenlik açığını kullanarak bu mesaj okunduğunda ve hatta sadece önizleme penceresinde görüntülendiğinde dahi sisteme bulaşabilmektedir.
Sundance`den not: Oldukça zararlı bir virus/worm olduğundan dolayı bu haberi biran önce çözümüyle birlikte girmek istedim. Şu an için çözümü türkçeye çevirebilecek zamanım yok, en kısa zamanda Türkçesini de yayınlayacağız.
Infection vectors;
- -----------------
a) Email as an attachment of MIME audio/x-wav type.
b) By browsing an infected webserver with Javascript execution
enabled and using a version of IE vulnerable to the exploits
discussed in MS01-020 (e.g. IE 5.0 or IE 5.01 without SP2).
c) Machine to machine in the form of IIS attacks (primarily
attempting to exploit vulnerabilities created by the effects of Code
Red II, but also vulnerabilities previously patched by MS00-078)
d) Highlighting either a .eml or .nws in Explorer with Active Desktop
enabled (W2K/ME/W98 by default) then the THUMBVW.DLL will execute the
file and attempt to download the README.EXE referenced in it
(depending on your IE version and zone settings).
e) Mapped drives. Any infected machine which has mapped network
drives will likely infect all of the files on the mapped drive and
its subdirectories

To prevent yourself from being infected;

a) Ensure all IE versions have applied MS01-027 (or are IE 5.01SP2 or
above)

b) Disable Active Scripting in IE

c) Ensure all IIS installations have applied MS01-044 (or at the very
least MS01-033)

d) Use the CALCS program to modify the permissions on TFTP.EXE to
remove all use;

CALCS %systemroot%/system32/tftp.exe /D Everyone
CALCS %systemroot%/system32/tftp.exe /D System

Do the same for CMD.EXE
(note, this could be tried with THUMBVM.DLL as well, haven't tried
this myself yet)

e) Ensure that TFTP is not permitted out through your network gateway
(note that newly infected machines may try and TFTP *internally* from
some other infected machine you have on your network)

f) Modify or remove;

HKEY_CLASSES_ROOT.eml
HKEY_CLASSES_ROOT.nws

Cleansing information;
- ---------------------

Nimda is viral, so while you can remove various files that it drops
it probably will not be cleaned completely by manual means. This
means you will have to use your AntiVirus vendor's product to
completely cleans.

a) Load.exe dropped as hidden/system file (probably in %systemroot%)
b) Riched20.dll dropped with today's date as hidden/system file.
c) Readme.exe dropped in every directory
d) Admin.dll dropped in /scripts and/or root directories (not the
_vti_bin directories of FrontPage)
e) .eml and .nws files dropped in every directory
f) Possibly modified your default home page in web dirs.
g) Infected numerous files (if not all files) with the 56kb
executable.
h) Reports of people having files lumped together into .eml files

Check with your AV Vendor regularly for updates to the cleansing
programs. I would appreciate any reports from AV Vendors as to how
complete they feel their cleaners currently are. I will do an update
later tonight based on responses.

Cheers,
Russ - Surgeon General of TruSecure Corporation/NTBugtraq Editor

İlgili Yazılar

Switch Kullanılan Ağlarda Trafik dinleme(Sniffing)

anonim

HUB kullanılan ortamlarda trafik dinleme işlemi oldukça basittir. Ağa bağlı bir makineye kurulacak bir sniffer aracılığı ile ağdaki tüm trafik dinlenebilir. Bu zaafiyet HUB sistemlerin çalışma mantığından kaynaklanır, hub ile birbirine bağlı sistemlerde iki sistem birbiri arasında haberleşmek istese bile aralarındaki trafik tüm hostlara gidecektir(broadcast mantığı ile çalışır).
Not:Yazıda kaynaklar kısmındabu makale unutulmuş.

McAfee FBI´ın casus yazılımını görmezden gelecek

anonim

Slashdot'da okuduğum bir habere göre, McAfee, antivirus ürünlerinin, FBI'ın şüphelilerin bilgisayarına sızdırdığı ve tuş vuruşlarını FBI'a gönderen trojanını (Magic Lantern) görmezden geleceğini açıklamış.
Peki virus yazarları Magic Lantern'in modifikasyonlarını çıkarırlarsa? Güvenlik yazılımlarında Amerikan ürünlerine güvenemeyecek miyiz? Güvenlik konularında open-source yaklaşımları gerekliliğini hissettirmeye başladı..

WinNT/IIS yöneticilerine 1 Nisan şakası

larweda

Birçok anti-güvenlik grubu 1 Nisan günü acı bir şaka yaparak Internette WinNT/W2K - MS IIS konfigürasyonuna sahip web sunucularının güvenlik önlemlerini kırdı ve anasayfalarını değiştirdi.

Microsoft Windows NT4.0 veya Microsoft Windows 2000 sunucular üzerinde Microsoft Internet Information Server ile sunulan ve saldiriya ugrayan adresler arasında Walt Disney, Wall Street Journal'in WebWatch'ı, British Telecomms, HSBC, Good Year Motors, MSN Dollars, Amerikan Deniz Kuvvetleri Taktik Sistemleri (Navy Center for Tactical Systems Interoperability), Ringling Bros. and Barnum & Bailey ve Doğu Carolina Üniversitesi de var.

OpenBSD 3.5 pf firewall sistemi geliştiricileri ile söyleşi

FZ

Aralarında Can Erkin Acar´ın da bulunduğu OpenBSD pf firewall güvenlik sistemi geliştiricileri ile yapılmış O´Reilly söyleşisinin 2. bölümünü burada okuyabilirsiniz.

Söz konusu söyleşi OpenBSD 3.5 çıkışına dikkatleri çekmek ve güvenlik konusunda hassasiyetleri ile bilinen geliştirici ekibinin ortaya koyduğu ``pf´´ (packet filter) firewall sistemini daha iyi tanıtmak amacı ile yapılmış.

Web Güvenliği E-Dergi

anonim

İlk sayısı Ağustos 2009`da yayımlanan Web Güvenlik Topluluğu (WGT) E-Dergi projesi ile web güvenliği bilincinin arttırılması amaçlanmaktadır.

Periyodik yayınlanacak dergide, uzmanlar tarafından birbirinden farklı konular kaleme alınırken, web/yazılım güvenliğinde güncel konuların ve teknolojilerin takibinin sağlanması da hedefleniyor.