[ BORG @ 19.09.2001. 20:06 ] @
Izasao novi virus nimda ili tako nekako...nemogu se sjetiti imena.
Kazu da napada mail server....prenosi se otvaranjem maila i pregledavanjem zarazenih web strana.
za vise informacija mozete ici na www.sophos.com ili www.securityfocus.com ali mi nesto ne radi sada pa nemogu dati link !

p.s.

pogodite koji os moze biti zarazen !?

[ Gojko Vujovic @ 19.09.2001. 20:53 ] @
Da ceo dan na CNN-u pricaju samo o tome, ali nisam cuo detalje. Ima li ko?
[ U--G @ 19.09.2001. 20:55 ] @
Pogledaj na www.nai.com... ja sam pogledao firewall za 24 sata 700 puta blokirao. Siri se na 2 nacina, preko emaila i web stranica
[ Jbyn4e @ 19.09.2001. 21:03 ] @
http://www.itc.virginia.edu/desktop/security/alert-nimda-a.html
za vise podataka...
ili npr.
http://www.europe.f-secure.com/v-descs/nimda.shtml
http://www.sophos.com/virusinfo/analyses/w32nimdaa.html
http://www.antivirus.com/vinfo.../default5.asp?VName=PE_NIMDA.A

Milsim da je dosta... ah da, ipak je nabolje objasnjeno na drugoj adresi po redu.

[Ovu poruku je menjao Jbyn4e dana 09-19-2001 u 09:06 PM GMT]

[Ovu poruku je menjao Jbyn4e dana 09-19-2001 u 09:10 PM GMT]
[ BORG @ 20.09.2001. 00:21 ] @
Evo texta sa drugog linka....

---pocetak---

A virus identity file (IDE) which provides protection is available
now from the Latest virus identities section, and will be
incorporated into the November 2001 (3.51) release of Sophos
Anti-Virus.

Sophos has received many reports of this virus from the wild.

Please note: The IDE has been updated on 18 September at 19:45
BST to improve detection of this virus.

Description
W32/Nimda-A is a Windows 32 virus which spreads via email,
network shares and websites.

The W32/Nimda-A virus can infect users of the Windows
95/98/Me operating systems as well as Windows NT and 2000.

Affected emails have an attached file called README.EXE. The
virus attempts to exploit a MIME Vulnerability in some versions of
Microsoft Outlook, Microsoft Outlook Express, and Internet
Explorer to allow the executable file to run automatically without
the user double-clicking on the attachment.

The virus copies itself into the Windows directory with the
filenames load.exe and riched20.dll (both have their file attributes
set to "hidden"), and attempts to spread itself to other users via
network shares.

The virus alters the System.ini file to include the line

shell=explorer.exe load.exe -dontrunold

so that it executes on Windows startup.

The virus forwards itself to other email addresses found on the
computer. Furthermore, the virus looks for IIS web servers
suffering from the Unicode Directory Traversal vulnerability. It
attempts to alter the contents of pages on such servers, hunting for
the following filenames:

index.html
index.htm
index.asp
readme.html
readme.htm
readme.asp
main.html
main.htm
main.asp
default.html
default.htm
default.asp

If it finds one of the above files on the web server the virus attempts
to alter the contents of the file, adding a section of malicious
Javascript code to the end of the file.

If the website is then browsed by a user with an insecure version of
Internet Explorer, the malicious code automatically downloads a
file called readme.eml onto the user's computer - which is then
executed, forwarding the virus once more.

The virus contains the following text: "Copyright 2001 R.P.China".

Users with web servers compromised by Nimda are advised to
replace all modified files, and to carry out a full security audit. One
of the exploits by which Nimda attacks servers relies on holes left
behind by a previous W32/CodeRed-II attack - and Nimda itself
tries to open additional security holes, such as giving administrative
powers to the "guest" user, which is supposed to be a highly
restricted account.

Microsoft has issued a security patch which reportedly secures IIS
against the web server folder traversal vulnerability. It is available at
http://www.microsoft.com/technet/security/bulletin/ms00-078.asp.

Microsoft has also issued a patch which secures against the
incorrect MIME header vulnerability which can be downloaded
from
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp.

For more information on how to protect your systems against
Nimda please follow this link:
http://www.microsoft.com/technet/security/topics/Nimda.asp.

Microsoft makes available patches to secure against vulnerabilities
in its products at:
http://www.microsoft.com/technet/itsolutions/security/current.asp

---kraj---

"The W32/Nimda-A virus can infect users of the Windows
95/98/Me operating systems as well as Windows NT and 2000."

Linux korisnici su sigurni...kao i uvjek....

[ Mikky @ 20.09.2001. 02:17 ] @
Novi crv Nimda ozbiljna pretnja
----------------------------------------------------------------------
Novi crv koji moze da inficira sve racunare s 32-bitnim Windowsom a
prenosi se koristeci vise razlicitih metoda prosirio se svetom u
utorak pre podne.

FBI trenutno ne veruje da crv ima neke veze s proslonedeljnim
teroristickim napadima na SAD, izjavio je u utorak americki javni
tuzilac Dzon Eskroft. Bilo je nekih nagovestaja da crv ima veze s
napadima jer je u utorak bilo tacno nedelju dana od napada, a crv je
prvi put otkriven u utorak u 9.11 pre podne. (Proslog utorka bio je
jedanaesti septembar a Amerikanci to zapisuju kao 9/11.)

Crva nazvan Nimda (naopacke napisana rec admin), moze da se prenosi u
prilogu poruke poslate e-postom, protokolom za prenos hiperteksta
(Hypertext Transfer Protocol, HTTP) ili preko deljenih diskova u
mrezi. Moze da zarazi sve 32-bitne operativne sisteme Windows -
Windows 98, 2000, Millennium Edition, XP, NT - jer skenira sisteme
trazeci neki od 10 do 100 razlicitih propusta koje potom iskoriscava.
Izgleda kao svajcarski vojnicki nozic ako se ima u vidu broj nacina
koje koristi za napad.

Kada se prenosi e-postom Nimda se krije u prilogu
naslovljenom "Readme.exe". Medjutim, ova Readme datoteka ima
preradjeno zaglavlje (podatke na pocetku sadrzaja pomocu kojih sistem
identifikuje vrstu datoteke) tako da racunar zakljucuje da je to, na
primer, zvucna ili neka druga datoteka. Readme.exe je u stvari
program.

Primalac pokrece izvrsavanje crva kad krene da pregleda poruku. Kada
se crv aktivira kopira samog sebe u sistemski direktorijum pod imenom
load.exe. Takodje se upisuje preko postojeceg sadrzaja datoteke
riched20.dll i samog sebe izmenjuje tako da bude ucitan kao DLL
datoteka. Ovu DLL datoteku koriste aplikacije koje rade s formatom
Riched Text Format, na primer Wordpad.

Da bi se aktivirao pri svakom pokretanju sistema crv menja datoteku
system.ini u odeljku Boot tako sto ubaci sledeci red:
shell=explorer.exe load.exe -dontrunold

Crv koristi MAPI (Mailing API) funkcije da cita korisnikovu e-postu i
iz nje vadi adrese SMTP servera i e-poste i samog sebe salje na te
adrese.

Drugi metod sirenja je Unicode Web Traversal, slican onom koji je
otkriven kod crva CodeBlue (Sifra plavo) registrovanog sedmog
septembra.

Crv se takodje siri i u lokalnim mrezama. Aktivira korisnika Guest
bez lozinke i samog sebe dodaje u grupu Administrator. Disk C:
otvara za deljenje sa svim pristupnim pravima.

Poruke e-poste nisu jedini prenosilac crva jer se on moze ucitati i
sa zarazenog Web servera, automatski ili kao odgovor na pitanje
postavljeno u iskacucem prozoru. U nekim slucajevima posetioce
zarazenih mesta na Mrezi docekace iskacuci prozor s pitanjem da li
zele da ucitaju .eml datoteku (datoteku e-poste Microsoftovog
programa Outlook) koja inace sadrzi kod crva Nimda. U drugim
slucajevima kod se automatski prebacuje na racunar posetioca i bez
pitanja. Kad se datoteka preuzme crv se potom prenosi e-postom.

Kada crv zarazi sistem on skenira svoju lokalnu podmrezu (komad
Interneta) trazeci ranjive sisteme. Oni koji su zasticeni ili
filtriraju priloge u vidu .exe datoteka bice bezbedni, ali zbog
razlicitih metoda sirenja crv se teze zaustavlja.

Administratori sistema koji su na vreme instalirali bezbednosne
zakrpe ne moraju da brinu, rekao je Dzim Desler, portparol
Microsofta. Najnovija zakrpa za Outlook zatvara sve propuste koje
Nimda koristi, bar koliko je Microsoft upucen u situaciju, rekao je
on. Isto vazi i za kumulativnu zakrpu za Internet Information Server
koja je izdata pocetkom leta, rekao je Desler.

Crv se za pola sata prosirio po celom svetu.

Nimda je po svoj prilici mnogo agresivniji i veci od crva Code Red
(Sifra crveno), smatraju analiticari. Code Red je crv koji je nedavno
izazvao velika ostecenja i probleme administratorima sistema sirom
sveta.

Mada Code Red nije izazvao onoliki uticaj na performanse Interneta
koliko se u pocetku strahovalo, postoje misljenja da ce Nimda uspeti
da ga nadjaca.

Povod za ovakva misljenja potekao je na osnovu podataka o srednjem
vremenu odziva odabranog skupa lokacija na Internetu. Ono je u utorak
u jedan sat posle podne u SAD bilo 377 milisekundi umesto prethodno
izmerenih 236 ms, dok je u ponedeljak ujutro iznosilo oko 200 ms.

Americka tela zaduzena za bezbednost racunara Computer Emergency
Response Team/Coordination Center (CERT/CC) i Incidents.org izdala su
u utorak upozorenja o povecanoj aktivnosti na Internetu s napomenom
da se ona moze dovesti u vezu s crvom Nimda.

Detaljnije objasnjenje mozete naci, na primer, na adresi
http://support.centralcommand.com/cgi-
bin/command.cfg/php/enduser/std_adp.php?p_refno=010918-000005 (M.V.)
[ Jbyn4e @ 20.09.2001. 14:34 ] @
Citat:
BORG je napisao:
Evo texta sa drugog linka....


ne, ne, pogresno, rekao sam drugog linka uopste , znaci onaj sa fsecure-a... jeko lepo i detaljno objasnjeno, vise nego ovo na sophosu...