Der er faktisk tale om at den udnytter flere forskellige gamle sikkerhedshuller. Derudover tilknytter den noget javakode til filer, som f.eks. .asp .htm Denne javakode gør at man bliver smittet bare ved at gå ind på en inficeret hjemmeside :-( Læs mere her: http://vil.mcafee.com/dispVirus.asp?virus_k=99209&
kharder>> Sådan som jeg har forstået det sker følgende: En pc inficeres via e-mail. Denne pc har en hjemmeside liggende. Filerne på hjemmesiden bliver inficeret. En bruger går ind på den ificerede hjemmeside via nettet og bliver inficeret ved at den java-kode der er på de inficerede sider åbner et nyt vindue, hvor der ligger kode der inficerer brugerens pc. Ydermere spreder den sig via de tradtionelle huller og videresender sig via Outlook (du ved, sådan som en standard virus spredes)
Ja pcen inficeres via hjemmeside eller e-mail. Derfor ville jeg gerne vide hvilken fil, der er afsenderen, som gør at den komme ind på ens hjemmeside med andre brugers browsere eller som som røde orm spurgte selv om adgang. Hvad hedder den fil.exe eller hvad det nu er?
Synes godt om
Slettet bruger
19. september 2001 - 10:11#9
bacardil lige den metode vil jeg netop gerne undgå, da det hæmmer mange andre muligeher på nettet.
Vicki Irwin, analytiker hos Internet Storm Center i Maryland, siger til AP, at Nimda har en ny hidtil uset funktion. Den kan også sprede sig ved, at brugerne bare surfer på et inficeret website med Explorer. Ved bare at klikke på et link, kan man risikere at få en fil med navnet README.EML over på sin computer. Det nye virus viser sig nogen gange som et nyt vindue på skærmen.
Kharder>> Problemet liger i et af de kendte huller i Outlook. Man kan via \"Malformed Mime Header Exploit\" (tror jeg nok den hedder) få eksekveret kode i en exe-fil uden at dobbeltklike på filen. Exe-filen i dette tilfælde hedder mepXXXX.tmp.exe (se http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=PE_NIMDA.A&VSect=T)
Filen som sendes videre beskrives som: \"The typical name of the file attachment is readme.exe but there have been reports of file attachments with the extensions .WAV and .COM.\"
Synes godt om
Slettet bruger
19. september 2001 - 10:38#12
Jeg har prøvet et ligende tilfælde for en lille måneds tid siden, hvor min virusscanner stoppede den med det samme, men det har måske været test af nimda.
Selve filen readme.eml er da ikke en aktiv fil, eller skulle email filer være aktive i sig selv?
Har lige fået meldeing pr. tlf. om 9 nye tilfælde blot inden for det østjydske område, og det går virkelig stærkt, så hvis man sikre sin hjemmeside så skal man åbenbart lukke den ned nu, indtil eksperterne har endelig styr på W32.Nimda
Du har ret i at filen readme.eml ikke er aktiv i sig selv, men den indeholder en attachment (readme.exe) som automatisk eksekveres via det exploit jeg beskrev ovenfor. Exploitet går ud på at man via en header i mailen skaber et buffer overrun, som resulteres i at attachmenten eksekveres (så vidt jeg lige kan huske uden at checke det - jeg sidder på arbejde lige nu)
Synes godt om
Slettet bruger
19. september 2001 - 11:19#14
Jeps det har jeg også fået ud af det, men selve den fil som forårsager at virusen sendes med browseren til den næste hjemmeside, dens navn ville være rar at have.
>>kharder Det er galt det du skriver! Det er ikke din skyld for det vrøvles i øjeblikket overalt
VIP Der er IKKE nogen attachment at kigge efter!!! Den er USYNLIG!! (læs symantec builetin)
Man kan ikke SE at der en attachment! DERFOR er den her så farlig! Obs at i outlook expres er det tilstrækkeligt at previewe mailen Så er man SMITTET! (Gælder kun expres ikke outlook) Læs også \'misinformation om...\' Der er mere mvh. a.
Har også konstateret at selv om man slår Activ script fra i browseren, så kan man aligevel få besøg af den Nimda. Endvidere er den aktiv blot du kikker på en mail, som indeholder denne virus. Den sikreste måde er nok som en sikkerhedsekspert har udtalt sig til teksttv på DR eller TV2, at lade være med at tage sin post ned fra nettet, samt udgå at åbne sin browser. Man kan dog gøre det at man tjekker sin post med f.eks. Lydia inden man downloader det http://www.kabsoftware.com/
Synes godt om
Slettet bruger
20. september 2001 - 07:20#19
Jo og hvis ens virusscanner konstaterer at man har fået Nimda, mens man browser på nettet, så er det blot om at få lukket browser ned og tømt internetfilerne ud via internetinstillinger slet filer!
Efter hvad jeg har forstået så ødelægger den ens hjemmeside helt, og skulle vist også kunne lave så meget rod på harddisken, at en nyinstallation kan blive påkrævet, hvis man ikke for fjernet bæstet med det samme. Men når nu disse oplysninger er kommet frem, at Den efter genstart af en pc, \"ringer hjem\", så må selve filen, jo efterhånden også være identificeret, så der kan komme et navn på, den fil som forårsager afsendelse af Nimda til andre pc\'er.
Synes godt om
Slettet bruger
22. september 2001 - 02:04#23
Nå men det ser ikke ud til at jeg får afklaret mit spørgsmål endeligt, så jeg kunne bruge min firewall til at stoppe denne virus med, så derfor vil jeg lukke spørgsmålet nu. Dog vil jeg belønne dem, som har deltaget med et svar i en eller anden retning.:-)
-Jamen tak da :) Jeg så blot det her spørgsmål som en hjælp til selvhjælp situation. Havde ikke forventet kontant \'betaling\' *s*
mvh a.
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.