VIRUS ALERT - W32/Nimda@MM

Hızla yayıldığı belirtilen bu ' worm ' hem e-mail attachment ile ( readme.exe ) hem de Microsft IIS serverda 15 Mayıs 2001'de bulunan bir güvenlik açığını ( PWS Escaped Characters Decoding Command Execution Vulnerability ) kullanarak yayılabilmektedir. Ayrıca, Internet Explorer 5.0 veya 5.5 kullanılarak web ( http ) üzerinden mailboxlara ( hotmail, yahoo, vs..) erişim söz konusu olduğunda, yine bir başka güvenlik açığını kullanarak bu mesaj okunduğunda ve hatta sadece önizleme penceresinde görüntülendiğinde dahi sisteme bulaşabilmektedir.

Sundance`den not: Oldukça zararlı bir virus/worm olduğundan dolayı bu haberi biran önce çözümüyle birlikte girmek istedim. Şu an için çözümü türkçeye çevirebilecek zamanım yok, en kısa zamanda Türkçesini de yayınlayacağız.

Infection vectors;
- -----------------
a) Email as an attachment of MIME audio/x-wav type.
b) By browsing an infected webserver with Javascript execution
enabled and using a version of IE vulnerable to the exploits
discussed in MS01-020 (e.g. IE 5.0 or IE 5.01 without SP2).
c) Machine to machine in the form of IIS attacks (primarily
attempting to exploit vulnerabilities created by the effects of Code
Red II, but also vulnerabilities previously patched by MS00-078)
d) Highlighting either a .eml or .nws in Explorer with Active Desktop
enabled (W2K/ME/W98 by default) then the THUMBVW.DLL will execute the
file and attempt to download the README.EXE referenced in it
(depending on your IE version and zone settings).
e) Mapped drives. Any infected machine which has mapped network
drives will likely infect all of the files on the mapped drive and
its subdirectories

To prevent yourself from being infected;

a) Ensure all IE versions have applied MS01-027 (or are IE 5.01SP2 or
above)

b) Disable Active Scripting in IE

c) Ensure all IIS installations have applied MS01-044 (or at the very
least MS01-033)

d) Use the CALCS program to modify the permissions on TFTP.EXE to
remove all use;

CALCS %systemroot%/system32/tftp.exe /D Everyone
CALCS %systemroot%/system32/tftp.exe /D System

Do the same for CMD.EXE
(note, this could be tried with THUMBVM.DLL as well, haven't tried
this myself yet)

e) Ensure that TFTP is not permitted out through your network gateway
(note that newly infected machines may try and TFTP *internally* from
some other infected machine you have on your network)

f) Modify or remove;

HKEY_CLASSES_ROOT.eml
HKEY_CLASSES_ROOT.nws

Cleansing information;
- ---------------------

Nimda is viral, so while you can remove various files that it drops
it probably will not be cleaned completely by manual means. This
means you will have to use your AntiVirus vendor's product to
completely cleans.

a) Load.exe dropped as hidden/system file (probably in %systemroot%)
b) Riched20.dll dropped with today's date as hidden/system file.
c) Readme.exe dropped in every directory
d) Admin.dll dropped in /scripts and/or root directories (not the
_vti_bin directories of FrontPage)
e) .eml and .nws files dropped in every directory
f) Possibly modified your default home page in web dirs.
g) Infected numerous files (if not all files) with the 56kb
executable.
h) Reports of people having files lumped together into .eml files

Check with your AV Vendor regularly for updates to the cleansing
programs. I would appreciate any reports from AV Vendors as to how
complete they feel their cleaners currently are. I will do an update
later tonight based on responses.

Cheers,
Russ - Surgeon General of TruSecure Corporation/NTBugtraq Editor

İlgili Yazılar

Siyah Şapkalar Buluşuyor (Black Hat USA 2005)

sefalet
27 Temmuz 2005, 1 dakika okuma süresi

Siyah Şapkaların buluşması rüya şehri Las Vegas'da gerçekleşmekte.Bilişim güvenliği üzerine çeşitli bildiri ve eğitimlerin verildiği etkinlikler 23-28 temmuz arasında.

Etkinliklerin içeriğine bakmak için;
http://blackhat.com

Ama açıkcası benim haberi paylaşmamın nedeni giden olur ihtimali değil, şu adresteki güzel arşiv;
http://blackhat.com/html/bh-multimedia-archives-index.html

Bilgisayar Korsanlarına Beş Yıla Kadar Hapis Cezası

FZ
10 Ağustos 2006, 2 dakika okuma süresi

Adalet Bakanlığı'nın bilişim suçlarına ilişkin hazırladığı kanun tasarısında, bilgisayar korsanlarına 2 yıldan 5 yıla kadar hapis ve adli para cezası verilmesi öngörülüyor. Bakanlık, "Bilişim Ağı Hizmetlerinin Düzenlenmesi ve Bilişim Suçları Hakkında Kanun Tasarısı"nı görüşlerini almak üzere diğer Bakanlıklar ve bakanlıklara bağlı kuruluşlar ile yüksek mahkemeler, üniversiteler, barolar, adli tıp, noterlik, bankalar, adli komisyon başkanlıklarının aralarında bulunduğu 100'den fazla kurum ve kuruluşa gönderdi. Bakanlık, söz konusu kurum ve kuruluşların görüşleri doğrultusunda değişik yaparak tasarıya son şeklini verecek.

Tasarıya göre, bilgisayar korsanlarına 2 yıldan 5 yıla kadar hapis ve adli para cezası da öngörülüyor. Buna göre, bir bilişim ağı aracılığıyla; bilişim sisteminde bulunan verileri veya programları hukuka aykırı olarak bozan, silen, değiştiren, yok eden, erişilmez kılan veya sisteme veri veya program yerleştiren, ekleyen, veri veya programlara zarar veren kişi, 2 yıldan 5 yıla kadar hapis ve adlî para cezası alacak.

Tarayıcınıza güvenlik testi

Soulblighter
23 Mart 2005, 1 dakika okuma süresi

Internet tarayıcınız güvenli mi? Güvenlik firması ScanIT bunun için online çalışan bir güvenlik testi hazırlamış.
http://bcheck.scanit.be/bcheck adresinden ulaşabilirsiniz...

Test uygulaması, kullandığım Firefox 1.0.1 tarayıcısında herhangi bir hataya rastlamadı. :)

Kuyruklu yalan dolmuşuna binmeyin...

ftaski
24 Mayıs 2001, 1 dakika okuma süresi

Geçen gün icq mesajlarıma bakarken boş forward yapmayacağına inandığım bir zat tarafından "Symantec 17 Nisan'da bulunan yeni bir virüsün, antivirüs programları tarafından tanınmadığı, ayrıca 1 haziranda aktif olacağını açıkladı. PC'nizde bu virüsün olup olmadığını incelemek için SULFNBK.EXE adlı dosyayı arattırın." şeklinde bir mesaj aldım. Olayın aslını merak etmeden dosyayı arattım ve bir güzel sildim (Bu dosya uzun dosya isimlerini saklamaya yarayan bir exe imiş). Kıllandığımda geçti çünkü Symantec in sayfasında konu ile ilgili linkte "Category: Hoax"(!!!) yazmaktaydı... Gerek e-maille gerek icq ile gelen her mesaja inanmayınız/inandırtmayınız; zira ben bu mesajı forward ettiğim herkese pişmanlık ve uyarı dolu yeni mesajlar attım ve bazılarına bu dosyayı bulup yolladım. Aman Dikkat. http://www.symantec.com/

Microsoft Windows Explorer'da Kritik Güvenlik Açığı

FZ
20 Nisan 2005, 1 dakika okuma süresi

Microsoft, 18 Ocak'ta rapor edilen kritik bir MS Windows Güvenlik açığı ile ilgili olarak hala yama yayınlamadı. Söz konusu açık Windows Explorer'daki bir problemden kaynaklanıyor ve keyfi bir komut çalıştırılmasına izin veriyor.

Israil merkezli GreyMagic Software geçen gece yayınladığı bülten ile Win2000 Pro., Server ve Advanced Server sistemlerinin etkilenebileceğini belirtti. Şirketin verdiği bilgilere göre, Windows 2000'deki Web View DLL'sini kullanan tüm sistemler de aynı açıktan muzdarip.

Bültene göre "kötü niyetli dosyanın etkisini göstermesi için çalıştırılmasına, üzerine çift tıklanmasına gerek yok. Dosyayı seçtiğiniz anda söz konusu açıktan faydalanan kötü niyetli yazılım devreye giriyor."

Detaylı bilgi için: http://searchsecurity.techtarget.com