Aan het eind van de middag werden we opgeschrikt door alweer een nieuwe worm
die zich richt op lekke Microsoft servers en werkstations. De worm lijkt verscheidene (volgens bronnen 16) bekende gaten uit te proberen, alsmede met Code Red II besmette systemen te exploiteren.
Mensen die hun systeem goed up-to-date
houden en dit goed gecontroleerd hebben, alsmede Unix-gebruikers zouden niets te vrezen moeten hebben.
De massale aanvragen door besmette computers zorgen onbedoeld(?) voor
een denial of service (sabotage) attack op netwerken, zodat ook mensen die produkten die
bovengenoemde problemen niet kennen gebruiken, last hebben van de nalatigheid
van andere Internet-gebruikers. Mensen die een besmette server met een oude versie van de
Microsoft MSIE browser bezoeken worden ook besmet via een gat in de MS MediaPlayer Daarnaast zou de worm zich ook
via email verspreiden als een attachment genaamd 'readme.exe'. Pas op! Tot vanmiddag werd deze 'readme.exe' nog niet door virusscanners herkend.

Voor deze nalatigen is informatie over oude en nieuwe lekken in Microsoft produkten is te
vinden op www.microsoft.com/security.
Een andere optie is via Start-Update de computer up-to-date te brengen.

Hier een stukje uit onze log:



213.156.45.xxx - - [18/Sep/2001:19:50:54 +0200] "GET http://www/scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" - - "-" "-"

213.156.45.xxx - - [18/Sep/2001:19:50:54 +0200] "GET http://www/scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" - - "-" "-"

213.156.45.xxx - - [18/Sep/2001:19:50:54 +0200] "GET http://www/scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" - - "-" "-"

213.116.98.xxx - - [18/Sep/2001:19:50:54 +0200] "GET http://www/scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" - - "-" "-"

De worm is door Symantec Nimda genoemd.

Provider Wirehub! heeft een lijst van links.