VIRUS ALERT - W32/Nimda@MM

0
anonim
anonim
19 Eylül 2001 , 3 dakika okuma süresi
Hızla yayıldığı belirtilen bu ' worm ' hem e-mail attachment ile ( readme.exe ) hem de Microsft IIS serverda 15 Mayıs 2001'de bulunan bir güvenlik açığını ( PWS Escaped Characters Decoding Command Execution Vulnerability ) kullanarak yayılabilmektedir. Ayrıca, Internet Explorer 5.0 veya 5.5 kullanılarak web ( http ) üzerinden mailboxlara ( hotmail, yahoo, vs..) erişim söz konusu olduğunda, yine bir başka güvenlik açığını kullanarak bu mesaj okunduğunda ve hatta sadece önizleme penceresinde görüntülendiğinde dahi sisteme bulaşabilmektedir.
Sundance`den not: Oldukça zararlı bir virus/worm olduğundan dolayı bu haberi biran önce çözümüyle birlikte girmek istedim. Şu an için çözümü türkçeye çevirebilecek zamanım yok, en kısa zamanda Türkçesini de yayınlayacağız. 
Infection vectors;
- -----------------
a) Email as an attachment of MIME audio/x-wav type.
b) By browsing an infected webserver with Javascript execution
enabled and using a version of IE vulnerable to the exploits
discussed in MS01-020 (e.g. IE 5.0 or IE 5.01 without SP2).
c) Machine to machine in the form of IIS attacks (primarily
attempting to exploit vulnerabilities created by the effects of Code
Red II, but also vulnerabilities previously patched by MS00-078)
d) Highlighting either a .eml or .nws in Explorer with Active Desktop
enabled (W2K/ME/W98 by default) then the THUMBVW.DLL will execute the
file and attempt to download the README.EXE referenced in it
(depending on your IE version and zone settings).
e) Mapped drives. Any infected machine which has mapped network
drives will likely infect all of the files on the mapped drive and
its subdirectories

To prevent yourself from being infected;

a) Ensure all IE versions have applied MS01-027 (or are IE 5.01SP2 or
above)

b) Disable Active Scripting in IE

c) Ensure all IIS installations have applied MS01-044 (or at the very
least MS01-033)

d) Use the CALCS program to modify the permissions on TFTP.EXE to
remove all use;

CALCS %systemroot%/system32/tftp.exe /D Everyone
CALCS %systemroot%/system32/tftp.exe /D System

Do the same for CMD.EXE
(note, this could be tried with THUMBVM.DLL as well, haven't tried
this myself yet)

e) Ensure that TFTP is not permitted out through your network gateway
(note that newly infected machines may try and TFTP *internally* from
some other infected machine you have on your network)

f) Modify or remove;

HKEY_CLASSES_ROOT.eml
HKEY_CLASSES_ROOT.nws

Cleansing information;
- ---------------------

Nimda is viral, so while you can remove various files that it drops
it probably will not be cleaned completely by manual means. This
means you will have to use your AntiVirus vendor's product to
completely cleans.

a) Load.exe dropped as hidden/system file (probably in %systemroot%)
b) Riched20.dll dropped with today's date as hidden/system file.
c) Readme.exe dropped in every directory
d) Admin.dll dropped in /scripts and/or root directories (not the
_vti_bin directories of FrontPage)
e) .eml and .nws files dropped in every directory
f) Possibly modified your default home page in web dirs.
g) Infected numerous files (if not all files) with the 56kb
executable.
h) Reports of people having files lumped together into .eml files

Check with your AV Vendor regularly for updates to the cleansing
programs. I would appreciate any reports from AV Vendors as to how
complete they feel their cleaners currently are. I will do an update
later tonight based on responses.

Cheers,
Russ - Surgeon General of TruSecure Corporation/NTBugtraq Editor
Güvenlik
Linkedin Facebook Twitter Google plus

Görüşler

Görüş belirtmek için giriş yapın...

İlgili Yazılar

Internet gezgini güven(siz)liği
daegil
27 Aralık 2005, 1 dakika okuma süresi

Araştırmayı ben de Bruce Schneier blog'unda yayınlayınca farkettim. Araştırmacılar 2004 boyunca MSIE, Firefox ve Opera'daki "bilinen güvensiz" günleri saymışlar, yani bir güvenlik açığının var olup yamasının yayınlanmamış olduğu günleri. MSIE %98 güvensiz çıkmış, yani araştırma senesi boyunca sadece 7 gün bilinen güvenlik açıklarına karşı yamaları mevcut bir gezgin sunabilmişler kullanıcılarına. Firefox %15, Opera ise %17 güvensiz çıkmış. Toplam güvenlik açığı sayılarından daha tutarlı bir yaklaşım...

Devletimiz Internet de ne kadar Korunuyor?
anonim
15 Mayıs 2001, 1 dakika okuma süresi

Silahlarımız var uçaklarımız, gemilerimiz, evet savaşa hazırız, ama o ne; biri geldi tüm telekomünikasyon sistemimizi down etti, bunu 1 kisi yaptı ve gitti ,daha sonra düşman geldi ve gümm gümm işimiz bitti. Evet artık elektronik ve ekonomik savaş önemli. Ülkemizin güvenliği askeri açıdan mükemmel ama Internet açısından nasılız acaba ?

Örnek mi istersiniz ? Devlet Malzeme Ofisi'nin sayfası hack ediliyor , hem de elektronik ticaret kısmı, hem de 1 gunde 2 kez :) ayda kaç kez bilinmiyor. Hacker uyarıyor `burda bug var düzeltin şunu` diyor, ama düzeltmiyorlar, dahası düzeltemiyorlar, ve bunu yapan da DMO değil, o siteyi yapan, asıl bu işi alan bir danışman firma. Üzüldüm açıkcası hem de çok...

Virüs Uyarısı - Nyxem
Skeleton
2 Şubat 2006, 1 dakika okuma süresi

Word, Powerpoint, Excel ve Acrobat gibi dosyaları silmeye programlanmış olan virüs 3 Şubat tarihinde etkin olacak. Son zamanlarda ortaya çıkan diğer virüsler gibi Nyxem de e-posta yoluyla yayılıyor ve kullanıcılara bulaşabiliyor. Çoğu antivirüs yazılımı üreticisi ilgili virüs tanımlarını yayınlamış olmalarına rağmen, F-Secure firmasına göre daha binlerce PC virüsten temizlenmiş değil. Antivirüs yazılımlarınızın güncelliğini kontrol etmeniz için bir gününüz var (tabi tarihiniz doğru ayarlı ise :))

SQL 2000´de bir açık, Turkiye ISP´lerinin birçoğunu esir aldı
sundance
25 Ocak 2003, 1 dakika okuma süresi

Cumartesi saat 12:20 itibari ile, BNet ve Doruk %100 down! Sebep olarak MS SQL 2000 sunucularının bir açığını kullanan nimda benzeri bir worm´dan bahsediliyor. TTNet´in kesintileri ve depremden sonraki en büyük kesintilerden biri bu

Yeni slogan ´MS SQL 2000 kullanın rahat edin. Ne downtime sınırları, ne hizmet garantisi, aşın hepsini!´

Not:1453 numaralı portu reject etseler de olurdu :) Diğer ISP´lerden de haber aldıkça yayınlayacağız...

Gizli anahtarlarınızı gizleyemezsiniz!
tongucyumruk
19 Mayıs 2006, 1 dakika okuma süresi

İngiliz ulusal güvenlik ajansı Home Office, 2000 yılında çıkan RIPA adlı yasanın üçüncü bölümündeki bugüne kadar kullanmaya başlamadğı hakkını kullanmak yönünde hazırlıklara başladı. Sözkonusu yasanın üçüncü bölümü İngiliz polisine ihtiyaç duyması halinde kişilerin açık anahtar tabanlı şifreleme uygulamalarında kullanılan gizli anahtarını isteme hakkını tanıyor. Gizli anahtarını teslim etmeyi reddedenler içinse hapis cezası öngörülüyor.