|
admin
Webmaster
Regione: Italy
Prov.: Pisa
Città: Capannoli
24474 Messaggi |
Inserito il - 18/09/2002 : 10:05:06
|
COMUNICAZIONE IMPORTANTE SU NUOVO VIRUS:
VIRUS ALERT: NIMDA (W32.Nimda.A@mm)
------------------------------------------
19 settembre 2001: prime notizie sul Virus
Nimda è un pericoloso virus "Worm" che si trasmette per posta elettronica ed e' in grado di eseguirsi automaticamente anche dalla finestra di anteprima di Outlook/Outlook Express sfruttando una vulnerabilita' di Windows Explorer, "spacciando" l'allegato README.EXE del messaggio che lo veicola per un file di suono in formato WAV. A causa delle sue caratteristiche di diffusione e di infezione automatica è consigliabile non aprire ne' visualizzare in anteprima alcun messaggio di posta elettronica prima di avere effettuato una scansione della cartella Posta in Arrivo.
---
Sintomi dell'infezione Il virus crea numerosi file in formato EML (Outlook e-Mail) nelle cartelle del disco infetto (compresa quindi la cartella "Esecuzione automatica", in modo da aprirsi all'avvio di Windows) molto simili al messaggio vettore, e con lo stesso allegato. Crea poi un file di nome WININIT.INI nella cartella di Windows e cerca di scaricare mediante l'applicazione TFTP.EXE un file di nome ADMIN.DLL. Tenta di condividere il disco C: con il nome C$. Modifica le impostazioni di Explorer in modo che i file nascosti non vengano visualizzati. Il virus cerca di infettare anche le applicazioni registrate nella voce di registro
HKLM/Software/Microsoft/Windows/CurrentVersion/App Paths. Può create numerosi file con attributi hidden e system nella cartella TEMP di Windows, aventi il nome nella forma
MEP.TMP[.EXE].
---
Windows 9x Il virus si copia nella cartella \WINDOWS\SYSTEM con il nome LOAD.EXE e sostituisce la libreria Microsoft RICHED20.DLL che viene utilizzata da numerosi programmi MS con una versione in grado didiffondere ulteriormente il virus; entrambi i file hanno attributo hidden. Modifica poi il file SYSTEM.INI aggiungendo la linea Shell=explorer.exe load.exe -dontrunold per assicurarsi l'esecuzione ad ogni riavvio.
---
Windows NT/2000 Il virus si copia nella cartella \WINNT\SYSTEM32 con il nome LOAD.EXE e crea un utente GUEST con privilegi di Administrator, tentendo mediante questo account di collegarsi ad altri computer in rete aprendo condivisioni mediante la modifica della chiave
HKLM/Software/Microsoft/Windows/CurrentVersion/Network/LanMan/[C$->Z$].
---
Disinfezione Aggiornare immediatamente la lista virus ed effettuare una scansione preliminare delle cartelle di posta elettronica, quindi dell'intero sistema. Puo' accadere che file con estensione EML (messaggi di posta elettronica) e NWS (messaggi di newsgroup) salvati sul disco non possano essere disinfettati perchè identificati come file compressi: Se ne consiglia pertanto la cancellazione. Impostare il livello di sicurezza di Internet Explorer al livello massimo (Strumenti->Opzioni->Protezione->LIvello Predefinito->Alta) Impostare Windows Explorer (Esplora Risorse) in modo da escludere l'Active Desktop, mediante la sequenza Strumenti->Opzioni Cartella->Usa Desktop di Windows.
Aggiornare i server IIS mediante le patches rilasciate da Microsoft:
http://www.microsoft.com/ntserver/nts/downloads/critical/q269862/default.asp
per IIS 4.0 http://www.microsoft.com/windows2000/downloads/critical/q269862/default.asp per IIS 5.0
|
|
![[AmadeuX BiblioForum]](https://www.amadeux.it/forum/immagini/amadeuxcomm1.jpg "[AmadeuX BiblioForum]")
Discussione Bloccata
