image

Nimda: weer een Microsoft worm die Internet saboteert

dinsdag 18 september 2001, 19:58 door Redactie, 10 reacties

Aan het eind van de middag werden we opgeschrikt door alweer een nieuwe worm
die zich richt op lekke Microsoft servers en werkstations. De worm lijkt verscheidene (volgens bronnen 16) bekende gaten uit te proberen, alsmede met Code Red II besmette systemen te exploiteren.
Mensen die hun systeem goed up-to-date
houden en dit goed gecontroleerd hebben, alsmede Unix-gebruikers zouden niets te vrezen moeten hebben.
De massale aanvragen door besmette computers zorgen onbedoeld(?) voor
een denial of service (sabotage) attack op netwerken, zodat ook mensen die produkten die
bovengenoemde problemen niet kennen gebruiken, last hebben van de nalatigheid
van andere Internet-gebruikers
. Mensen die een besmette server met een oude versie van de
Microsoft MSIE browser bezoeken worden ook besmet via een gat in de MS MediaPlayer Daarnaast zou de worm zich ook
via email verspreiden als een attachment genaamd 'readme.exe'. Pas op! Tot vanmiddag werd deze 'readme.exe' nog niet door virusscanners herkend.

Voor deze nalatigen is informatie over oude en nieuwe lekken in Microsoft produkten is te
vinden op www.microsoft.com/security.
Een andere optie is via Start-Update de computer up-to-date te brengen.

Hier een stukje uit onze log:



213.156.45.xxx - - [18/Sep/2001:19:50:54 +0200] "GET http://www/scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" - - "-" "-"

213.156.45.xxx - - [18/Sep/2001:19:50:54 +0200] "GET http://www/scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" - - "-" "-"

213.156.45.xxx - - [18/Sep/2001:19:50:54 +0200] "GET http://www/scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" - - "-" "-"

213.116.98.xxx - - [18/Sep/2001:19:50:54 +0200] "GET http://www/scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" - - "-" "-"

De worm is door Symantec Nimda genoemd.


Provider Wirehub! heeft een lijst van links.

Reacties (10)
18-09-2001, 20:15 door Anoniem
Dit verklaart mijn logs van vandaag, ik blij dat ik IIS heb verwijderd en ben overgestapt op iets anders..
18-09-2001, 20:41 door Anoniem
Originally posted by Robin
Dit verklaart mijn logs van vandaag, ik blij dat ik IIS heb verwijderd en ben overgestapt op iets anders..

Jij blij...ik neem aan dat je ook naar de security hebt gekeken en altijd blijft updaten...dat is het verschil met microsoft producten (niet dus)
18-09-2001, 20:42 door Anoniem
Originally posted by Robin
Dit verklaart mijn logs van vandaag, ik blij dat ik IIS heb verwijderd en ben overgestapt op iets anders..

Jij blij...ik neem aan dat je ook naar de security hebt gekeken en altijd blijft updaten...dat is het verschil met microsoft producten (niet dus)

ScreamOnline
Scream On The Internet!
[email]ScreamOnl@hotmail.com[/email]
18-09-2001, 22:12 door Anoniem
Voor beheerders van transparant opgestelde caches is het volgende van belang:

De verspreiding van de worm valt tegen te gaan door doorgifte van het bestand readme.eml te blokkeren. Op bijvoorbeeld een NetCache kan men bijvoorbeeld de volgende access control list (ASL) instellen:
deny url matches ".*.eml"

Rene Pieters
18-09-2001, 23:01 door pierpanda
VOLGENS SYMANTEC MOET MEN HIER OPPASSEN AANGEZIEN DE BIJLAGE Readme.exe will NOT be visible as an attachment in the email received!


[COLOR=orangered]Readme.exe will NOT be visible as an attachment in the email received![/COLOR]


Pierpanda
19-09-2001, 01:50 door Anoniem
Hij lijkt redelijk snel te gaan: vanaf 14:12 heb ik tot nu toe 59 probes gehad. De worm probeert idd 16 manieren uit (unicode, cgi escaped chars, en backdoors van Code Red).
Opvallend is het aantal probes vanaf eigen provider, en het aantal keren dat een besmette host langs komt (1 host zelfs 9 keer).

H. V.
19-09-2001, 02:17 door pierpanda
VOOR IEDEREEN DIE NORTON ANTIVIRUS GEBRUIKT, IS NU DE UPDATE BESCHIKBAAR VOOR DE VIRUSSCANNER. DUS: ZO SNEL MOGELIJK UPDATEN. HET VEILIGHEIDSRISICO VOOR DEZE WORM IS 4.


Pierpanda.
19-09-2001, 14:03 door bustersnyvel
Originally posted by
Hij lijkt redelijk snel te gaan: vanaf 14:12 heb ik tot nu toe 59 probes gehad.

H. V.

Gister-avond zat m'n server op de 1500 probes. Nu al op zo'n dikke 3000!
20-09-2001, 20:16 door Go-dbrned
Wij zijn een hosting provider met linux 6.2 op onze servers en de worm komt dus ook voor in onze logs
22-09-2001, 19:47 door Anoniem
Originally posted by pierpanda
VOOR IEDEREEN DIE NORTON ANTIVIRUS GEBRUIKT, IS NU DE UPDATE BESCHIKBAAR VOOR DE VIRUSSCANNER. DUS: ZO SNEL MOGELIJK UPDATEN. HET VEILIGHEIDSRISICO VOOR DEZE WORM IS 4.


Pierpanda.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.