[fda-list] Fwd: #### Nimda #### - Alert wirusowy

  • From: Krzysztof Orkisz <orkiszk@xxxxxxxxxxxxxx>
  • To: fda-list <fda-list@xxxxxxxxxxxxx>
  • Date: Wed, 19 Sep 2001 15:58:28 +0200

To jest wiadomosc przekazana
Od: Maciej Pa³ys <maciek@xxxxxxxxxxxx>
Data: 19 wrze¶nia 2001, 10:05:20
Temat: #### Nimda #### - Alert wirusowy

===8<============== Originalny tekst ===============
Nimda jest robakiem internetowym, którego dzia³anie polega na rozsy³aniu siê 
poczt± elektroniczn± oraz poprzez b³êdy w serwerze IIS. Do infekcji tym 
robakiem wystarczy przeczytanie wiadomo¶ci w niezabezpieczonym programie 
Microsoft Outlook lub Outlook Express.

Zwykle robak pojawia siê w komputerze ofiary w postaci listu elektronicznego o 
pustej tre¶ci, bardzo d³ugim niezrozumia³ym temacie oraz z plikiem za³±cznika o 
nazwie readme.exe. Korzystaj±c z b³êdu w oprogramowaniu klientów pocztowych MS 
Outlook i Outlook Express, do aktywacji robak wymaga jedynie podgl±du 
(przeczytania tre¶ci) wiadmo¶ci w tych programach. Infekcja nastêpuje nawet bez 
uruchomienia przez u¿ytkownika pliku za³±cznika.

Po aktywacji robak tworzy w³asne kopie w katalogu systemu Windows w pliku 
load.exe oraz nadpisuje plik riched20.dll. Pierwszy plik jest uruchamiany przy 
ka¿dym starcie systemu Windows poprzez wpis w pliku system.ini. Wpis ten ma 
nastêpuj±c± sk³adniê: shell=explorer.exe load.exe -dontrunold. Natomiast plik 
riched20.dll jest uruchamiany przy ka¿dym uruchomieniu programu otwieraj±cego 
plik typu RTF.

Nastêpnie robak wysy³a siê do adresatów, których adresy poczty elektronicznej 
pobiera z listów znajduj±cych siê w programie pocztowym. Dodatkowo adresy 
pobierane s± równie¿ z plików z rozszerzeniami htm i html znajduj±cych siê na 
dysku lokalnym. Tak uzyskane adresy s± wstawiane zarówno w polu From: i To: 
zatem listy z robakiem w polu nadawcy nie zawieraj± pradziwego adresu nadawcy.

Alternatywna metoda infekcji to korzystanie z b³êdu w oprogramowaniu IIS 
zwanego Unicode Web Traversal, u¿ywanego równie¿ wcze¶niej przez robaka 
BlueCode.

Dodatkowo robak infekuje wszystkie pliki z rozszerzeniem exe oraz nadpisuje 
pliki z rozszerzeniami eml i nws w³asn± kopi±, w katalogach lokalnych, które s± 
udostêpnione.

Aby rozprzestrzeniaæ siê poprzez sieæ lokaln± robak zmienia warto¶æ 
nastêpuj±cego klucza w rejestrze 
HKLM\Software\Microsoft\Windows\CurrentVersion\Network\LanMan\[C$ -> Z$], czego 
efektem jest udostêpnianie wszystkich dysków w sieci. Nastêpnie robak 
przeszukuje sieæ lokaln± w poszukiwaniu udostêpnionych katalogów, staraj±c siê 
infekowaæ pliki z rozszerzeniami exe i nadpisuj±c pliki z rozszerzeniami eml i 
nws.

Dostêpne s± ³aty zarówno do b³êdu wykorzytywanego przy uruchamianiu pliku w 
programie pocztowym jak i do infecji serwerów IIS, odpowiednio:

http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
http://www.microsoft.com/technet/security/bulletin/ms00-078.asp 

Robak Nimda jest wykrywany i usuwany przez MkS_Vir'a z dnia 19 wrze¶nia 2001.

pozdrawiam :)

Maciej Pa³ys
_______________________________________________________________
Kierownik Dzia³u Wsparcia Technicznego  MKS Sp. z o.o.
pomoc@xxxxxxxxxx                        tel. (0-22)666 13 05
maciek@xxxxxxxxxx                       fax  (0-22)666 13 07
                                        http://www.mks.com.pl   
                                        http://www.antywirus.pl      

===8<=================== Koniec ====================

Pozdrawiam
-- 
Krzysztof Orkisz       mailto:  orkiszk@xxxxxxxxxxxxxx
-- Attached file included as plaintext by Listar --
-- File: 1.msg

Return-Path: <mksnews@xxxxxxxxxx>
Received: from mks.mks.com.pl (root@xxxxxxxxxxxxxx [213.241.3.142])
        by ns.prz-rzeszow.pl (8.10.0/8.9.1) with ESMTP id f8JAFV920591
        for <orkiszk@xxxxxxxxxxxxxx>; Wed, 19 Sep 2001 12:15:32 +0200
Received: (from root@localhost)
        by mks.mks.com.pl (8.11.0/8.11.0) id f8JADxW20542
        for orkiszk@xxxxxxxxxxxxxx; Wed, 19 Sep 2001 12:13:59 +0200
Message-Id: <200109191013.f8JADxW20542@xxxxxxxxxxxxxx>
Date: Wed, 19 Sep 2001 10:05:20 +0200
From: Maciej Pa³ys <maciek@xxxxxxxxxxxx>
Reply-To: mksnews@xxxxxxxxxx
Organization: mks Sp. z o.o.
MIME-Version: 1.0
Subject: #### Nimda #### - Alert wirusowy
Content-Type: text/plain; charset=iso-8859-2
Content-Transfer-Encoding: 8bit
X-AntiVirus: scanned for viruses by AMaViS and AVP

Nimda jest robakiem internetowym, którego dzia³anie polega na rozsy³aniu siê 
poczt± elektroniczn± oraz poprzez b³êdy w serwerze IIS. Do infekcji tym 
robakiem wystarczy przeczytanie wiadomo¶ci w niezabezpieczonym programie 
Microsoft Outlook lub Outlook Express.

Zwykle robak pojawia siê w komputerze ofiary w postaci listu elektronicznego o 
pustej tre¶ci, bardzo d³ugim niezrozumia³ym temacie oraz z plikiem za³±cznika o 
nazwie readme.exe. Korzystaj±c z b³êdu w oprogramowaniu klientów pocztowych MS 
Outlook i Outlook Express, do aktywacji robak wymaga jedynie podgl±du 
(przeczytania tre¶ci) wiadmo¶ci w tych programach. Infekcja nastêpuje nawet bez 
uruchomienia przez u¿ytkownika pliku za³±cznika.

Po aktywacji robak tworzy w³asne kopie w katalogu systemu Windows w pliku 
load.exe oraz nadpisuje plik riched20.dll. Pierwszy plik jest uruchamiany przy 
ka¿dym starcie systemu Windows poprzez wpis w pliku system.ini. Wpis ten ma 
nastêpuj±c± sk³adniê: shell=explorer.exe load.exe -dontrunold. Natomiast plik 
riched20.dll jest uruchamiany przy ka¿dym uruchomieniu programu otwieraj±cego 
plik typu RTF.

Nastêpnie robak wysy³a siê do adresatów, których adresy poczty elektronicznej 
pobiera z listów znajduj±cych siê w programie pocztowym. Dodatkowo adresy 
pobierane s± równie¿ z plików z rozszerzeniami htm i html znajduj±cych siê na 
dysku lokalnym. Tak uzyskane adresy s± wstawiane zarówno w polu From: i To: 
zatem listy z robakiem w polu nadawcy nie zawieraj± pradziwego adresu nadawcy.

Alternatywna metoda infekcji to korzystanie z b³êdu w oprogramowaniu IIS 
zwanego Unicode Web Traversal, u¿ywanego równie¿ wcze¶niej przez robaka 
BlueCode.

Dodatkowo robak infekuje wszystkie pliki z rozszerzeniem exe oraz nadpisuje 
pliki z rozszerzeniami eml i nws w³asn± kopi±, w katalogach lokalnych, które s± 
udostêpnione.

Aby rozprzestrzeniaæ siê poprzez sieæ lokaln± robak zmienia warto¶æ 
nastêpuj±cego klucza w rejestrze 
HKLM\Software\Microsoft\Windows\CurrentVersion\Network\LanMan\[C$ -> Z$], czego 
efektem jest udostêpnianie wszystkich dysków w sieci. Nastêpnie robak 
przeszukuje sieæ lokaln± w poszukiwaniu udostêpnionych katalogów, staraj±c siê 
infekowaæ pliki z rozszerzeniami exe i nadpisuj±c pliki z rozszerzeniami eml i 
nws.

Dostêpne s± ³aty zarówno do b³êdu wykorzytywanego przy uruchamianiu pliku w 
programie pocztowym jak i do infecji serwerów IIS, odpowiednio:

http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
http://www.microsoft.com/technet/security/bulletin/ms00-078.asp 

Robak Nimda jest wykrywany i usuwany przez MkS_Vir'a z dnia 19 wrze¶nia 2001.

pozdrawiam :)

Maciej Pa³ys
_______________________________________________________________
Kierownik Dzia³u Wsparcia Technicznego  MKS Sp. z o.o.
pomoc@xxxxxxxxxx                        tel. (0-22)666 13 05
maciek@xxxxxxxxxx                       fax  (0-22)666 13 07
                                        http://www.mks.com.pl   
                                        http://www.antywirus.pl      


-- 
Aby zrezygnowaæ z subskrypcji napisz do fda-list-request@xxxxxxxxxxxxx ze 
s³owem 'unsubscribe'w temacie listu.

Other related posts:

  • » [fda-list] Fwd: #### Nimda #### - Alert wirusowy