VIRUS ALERT - W32/Nimda@MM

0
anonim
anonim
19 Eylül 2001 , 3 dakika okuma süresi
Hızla yayıldığı belirtilen bu ' worm ' hem e-mail attachment ile ( readme.exe ) hem de Microsft IIS serverda 15 Mayıs 2001'de bulunan bir güvenlik açığını ( PWS Escaped Characters Decoding Command Execution Vulnerability ) kullanarak yayılabilmektedir. Ayrıca, Internet Explorer 5.0 veya 5.5 kullanılarak web ( http ) üzerinden mailboxlara ( hotmail, yahoo, vs..) erişim söz konusu olduğunda, yine bir başka güvenlik açığını kullanarak bu mesaj okunduğunda ve hatta sadece önizleme penceresinde görüntülendiğinde dahi sisteme bulaşabilmektedir.
Sundance`den not: Oldukça zararlı bir virus/worm olduğundan dolayı bu haberi biran önce çözümüyle birlikte girmek istedim. Şu an için çözümü türkçeye çevirebilecek zamanım yok, en kısa zamanda Türkçesini de yayınlayacağız. 
Infection vectors;
- -----------------
a) Email as an attachment of MIME audio/x-wav type.
b) By browsing an infected webserver with Javascript execution
enabled and using a version of IE vulnerable to the exploits
discussed in MS01-020 (e.g. IE 5.0 or IE 5.01 without SP2).
c) Machine to machine in the form of IIS attacks (primarily
attempting to exploit vulnerabilities created by the effects of Code
Red II, but also vulnerabilities previously patched by MS00-078)
d) Highlighting either a .eml or .nws in Explorer with Active Desktop
enabled (W2K/ME/W98 by default) then the THUMBVW.DLL will execute the
file and attempt to download the README.EXE referenced in it
(depending on your IE version and zone settings).
e) Mapped drives. Any infected machine which has mapped network
drives will likely infect all of the files on the mapped drive and
its subdirectories

To prevent yourself from being infected;

a) Ensure all IE versions have applied MS01-027 (or are IE 5.01SP2 or
above)

b) Disable Active Scripting in IE

c) Ensure all IIS installations have applied MS01-044 (or at the very
least MS01-033)

d) Use the CALCS program to modify the permissions on TFTP.EXE to
remove all use;

CALCS %systemroot%/system32/tftp.exe /D Everyone
CALCS %systemroot%/system32/tftp.exe /D System

Do the same for CMD.EXE
(note, this could be tried with THUMBVM.DLL as well, haven't tried
this myself yet)

e) Ensure that TFTP is not permitted out through your network gateway
(note that newly infected machines may try and TFTP *internally* from
some other infected machine you have on your network)

f) Modify or remove;

HKEY_CLASSES_ROOT.eml
HKEY_CLASSES_ROOT.nws

Cleansing information;
- ---------------------

Nimda is viral, so while you can remove various files that it drops
it probably will not be cleaned completely by manual means. This
means you will have to use your AntiVirus vendor's product to
completely cleans.

a) Load.exe dropped as hidden/system file (probably in %systemroot%)
b) Riched20.dll dropped with today's date as hidden/system file.
c) Readme.exe dropped in every directory
d) Admin.dll dropped in /scripts and/or root directories (not the
_vti_bin directories of FrontPage)
e) .eml and .nws files dropped in every directory
f) Possibly modified your default home page in web dirs.
g) Infected numerous files (if not all files) with the 56kb
executable.
h) Reports of people having files lumped together into .eml files

Check with your AV Vendor regularly for updates to the cleansing
programs. I would appreciate any reports from AV Vendors as to how
complete they feel their cleaners currently are. I will do an update
later tonight based on responses.

Cheers,
Russ - Surgeon General of TruSecure Corporation/NTBugtraq Editor
Güvenlik
Linkedin Facebook Twitter Google plus

Görüşler

Görüş belirtmek için giriş yapın...

İlgili Yazılar

Gizli Mesajınızı Spam Mail İçinde Saklayın!
ts
14 Mayıs 2003, 1 dakika okuma süresi

Şifreli yazışmak icin kullanilabilecek birçok yöntem bulunuyor. Bunların içinde en ilginci ise Spammimic adında bir sitede bulunuyor.

Bu sitede istenilen yazı bir spam mail'in içerisine gizleniyor ve Spammimic internet sitesinde çözülmediği takdirde gerçek mesaja ulaşılamıyor.

Editörün Notu: Eğlenceli bir yazılım, gramer steganografisi gibi görülebilir ancak ciddi olarak kullanılabilecek türden bir uygulamaya benzemiyor.

Phrack 57 Çıktı!
sundance
14 Ağustos 2001, 1 dakika okuma süresi

Cyber (ve Cyber öncesi) Hack Phreak ortamlarının en sağlam dergisi PHRACK`in 57`inci sayısı çıktı.

Yaklaşık 15 yıldır yayında olan PHRACK ilk sayısını 17 Kasım 1985`te çıkartmıştı. Zamanında 2400Bps BBS`ler ve uzun dalga radyo BBS arşivlerinin vazgeçilmez parçalarını oluşturan PHRACK sayıları, hala eski tadını korumakta. Biraz olsun neler dönüyor bu kapalı kutuların içinde merak ediyorsanız, kesinlikle kaçırmayın...

GNU/Linux OpenBSD Kadar Güvenli Mi?
Nightwalker
28 Şubat 2003, 1 dakika okuma süresi

Internette dolaşırken tesadüfen rastladığım makale oldukça ilginç. Makalede GNU/Linux'un neden hiçbir zaman OpenBSD kadar güvenli olamayacağı açıklanıyor. Başlıktaki iddaya önce şüpheyle yaklaşsam da savunulan tezler oldukça mantıklı gözüküyor. OpenBSD desktop uygulaması olarak belki Linux'un karşısına kolay kolay çıkamayacak. Ama sunucu hizmetlerinde... Neyse bakalım gelecek kimin olacak?

Avustralya, Koreli korsanların tehdidinde!
Soulblighter
15 Ekim 2004, 1 dakika okuma süresi

Kuzey Kore askeri birliği, 500 kadar bilgisayar korsanı kiraladı. Korsanların görevi Güney Kore, japonya ve Amerika ağlarına sızarak bilgi çalmak.
Güvenlik uzmanları, Avusturalya'nın Amerika ve Avrupa'ya göre daha fazla risk altında olduğunu, bilgisayar korsanları için basit hedef olduğunu söylüyor.
Adını açıklamak istemeyen bir Amerikalı güvenlik uzmanı, Avustralya'nın şirket ağlarına giriş için "arka kapı" olarak kullanılabileceğini ve Kuzey Korenin amacına ulaşmasına neden olabileceği yönünde uyarıyor.
Avustralya'lı firmalar ise Amerika'lı ve Avrupa'lı firmalar ile aynı düşünce yapısına sahip olmasına rağmen güvenlik konusunda daha rahat davranıyorlar. Bu da onları açık tehdit haline getiriyor. Haberin devamı...

Kuyruklu yalan dolmuşuna binmeyin...
ftaski
24 Mayıs 2001, 1 dakika okuma süresi

Geçen gün icq mesajlarıma bakarken boş forward yapmayacağına inandığım bir zat tarafından "Symantec 17 Nisan'da bulunan yeni bir virüsün, antivirüs programları tarafından tanınmadığı, ayrıca 1 haziranda aktif olacağını açıkladı. PC'nizde bu virüsün olup olmadığını incelemek için SULFNBK.EXE adlı dosyayı arattırın." şeklinde bir mesaj aldım. Olayın aslını merak etmeden dosyayı arattım ve bir güzel sildim (Bu dosya uzun dosya isimlerini saklamaya yarayan bir exe imiş). Kıllandığımda geçti çünkü Symantec in sayfasında konu ile ilgili linkte "Category: Hoax"(!!!) yazmaktaydı... Gerek e-maille gerek icq ile gelen her mesaja inanmayınız/inandırtmayınız; zira ben bu mesajı forward ettiğim herkese pişmanlık ve uyarı dolu yeni mesajlar attım ve bazılarına bu dosyayı bulup yolladım. Aman Dikkat. http://www.symantec.com/