VIRENWARNUNG

Hallo!

Es gibt einen neuen anscheinend echt fiesen Microsoft-Wurm, der sich
zum einen von einem Microsoft Webserver zum nächsten verbreitet (wie Code Red), sich zum anderen aber anscheinend auch über Emails (wie sircam) verbreitet.

Zu allem Übel verändert er zum Teil die infizierten Webserver so, dass Besucher der Seiten automatisch eine ausführbare Datei geschickt bekommen (wenn sie IE benutzen). Was die macht, ist noch nicht bekannt, aber was nettes wird es wohl nicht sein.

Also: Auf keinen Fall eine solche Datei (bei einigen der Systeme, die ARIVA angreifen wollten hieß sie 'readme.exe') ausführen lassen. Sicherheitseinstellungen so wählen, dass solche Sachen nicht automatisch ausgeführt werden. Und Attachments sowieso nicht einfach öffnen (Auch keine, *.eml Microsoft-Email-Dateien doppelklicken, wenn sie auf eurem Rechner rumliegen. In Firmennetzen könnten die von dem Virus dorthin gepackt worden sein und euch böses wollen)

OK, das war es erstmal. Der Virus ist noch nicht richtig analysiert, keine Updates von Virenprogrammen verfügbar. Besonders die Art der Verbreitung über Emails ist unklar. In Firmennetzwerken kopiert er aber wohl die *.eml Datein in aller irgendwie erreichbaren Verzeichnisse, evtl. versendet er aber auch aktiv Emails.

Achja: Die ersten Angriffe des Virus sollen gegen 9 Uhr New Yorker Ortszeit aufgefallen sein.

und im trash unseres linuxservers versauern lassen.
es war eine EXE-datei gleich nach einer mail (einer freundin) mit gleicher absenderadresse, aber mit
"send to recipients".

IZ

ich hab da auch irgend was am hals. ich war heute auf etwas fadenscheinigen seiten unterwegs, da meldete sich mein norton antivierus und sagte  infizierte datei gefunden system angehalten ich sagte dann ok datei reparieren ging nicht.
norton schlug mir vor datei isolieren ging nicht norton schlug vor datei löschen ging auch nicht und nun hab ich es so eingestelt datei nicht verwenden aber nicht reparieren weil alles andere nicht geht.ich hab mich dann auf die suche nach der datei gemacht (c:\WINDOWS\LocalSettings\TemporaryInternetFiles\Content.......)a­ber schon bei c.\WINDOWS\Local sagt mir mein rechner ungültiger dateiname. und nu???????????

für jeden tip bin ich sehr glücklich



zu teuer

deinen Norton AV zuhoch eingestellt, vermutlich höchste Stufe...stell es auf mittlere Stufe und alles ist Ok...

bekommt ihr immer diese nachrichten? wär mal interessant

keine ahnung wie ich die sicherheitsstufe runterdrehe.
aber ich habe eine ausnahmeliste gefunden von dateitypen die nicht überprüft werden was soll das denn???


zu teuer

ich wars... robinson.. mein vater war mal wieder noch angemeldet...
ich dachte, dass ihr als admins auch die eine oder andere quelle habt, die nich symantec heisst. ich suche auch ständig neue viren infos. wär mal nett, wenn ihr ne quelle publizieren könntet.

DER Rob

Die "infizierte" Datei wirst du auf folgende Weise los:

Internet Explorer öffnen-> Extras-> Internetoptionen...-> Dateien Löschen...->
"Alle Offlineinhalte löschen" markieren-> "OK" drücken

Damit ein Virenscanner überhaupt Sinn macht, solltest du dir
regelmäßig die neuesten Virendefinitionen herunterladen.

Für NAV gilt folgender Link:


www.symantec.com/avcenter/download/pages/DE-N95.html
 

Mittlerweile bieten auch die ersten Antiviren-Hersteller Informationen und teilweise auch Updates zu Nimda an. Die meisten Antiviren-Programme können den Schädling erst nach einem Update erkennen und unter Umständen auch entfernen.

Sophos www.sophos.com/virusinfo/analyses/w32nimdaa.html[5]

NAI: vil.nai.com/vil/virusSummary.asp?virus_k=99209[6]

F-Secure: www.f-secure.com/v-descs/nimda.shtml[7]

Symantec: www.sarc.com/avcenter/venc/data/w32.nimda.a@mm.html[8]

Frisk (F-Prot): www.frisk.is/f-prot/virusinfo/nimda.html[9]

Kaspersky: www.kaspersky.com/news.asp[10]

(ju[11]/c't)



--------------------------------------------------
URL dieses Artikels:
 www.heise.de/newsticker/data/ju-18.09.01-000/
Links in diesem Artikel:
 [1] www.heise.de/newsticker/data/pab-18.09.01-000/
 [2] www.heise.de/ct/browsercheck/
 [3] www.heise.de/newsticker/data/ju-18.09.01-001/
 [4] www.microsoft.com/windows/ie/downloads/...l/patch9/default.asp
 [5] www.sophos.com/virusinfo/analyses/w32nimdaa.html
 [6] vil.nai.com/vil/virusSummary.asp?virus_k=99209
 [7] www.f-secure.com/v-descs/nimda.shtml
 [8] www.sarc.com/avcenter/venc/data/w32.nimda.a@mm.html
 [9] www.frisk.is/f-prot/virusinfo/nimda.html
 [10] www.kaspersky.com/news.asp
 [11] mailto:ju@ct.heise.de

chello befreit seine Kunden vom Code Red

chello konnte seinen Kunden erfolgreich helfen den Code Red zu bekämpfen. Wir verschickten eine URL von Microsoft mit einem kostenlosen Anti Virus Patch. Fast alle chello Kunden konnten mittlerweile vom Code Red - Wurm befreit werden. Für all jene Kunden, die den Patch noch nicht installert haben, können diesen folgendermaßen beseitigen:

für Windows NT 4.0
unter www.microsoft.com/Downloads/Release.asp?ReleaseID=30833
(Deaktiviert den Code Red Virus unter Windows NT)

für Windows 2000
unter www.microsoft.com/Downloads/Release.asp?ReleaseID=30800  
(Deaktiviert den Code Red Virus unter Windows 2000)

Die Kunden mit einem anderen Betriebssystem (WIN 95, Win98, ME) benötigen lediglich den
Code Red II Cleaner
unter www.microsoft.com/Downloads/Release.asp?ReleaseID=31878
(Löscht die Dateien die vom Virus am Computer angelegt wurden).

All diese Downloads sind KOSTENLOS.

Ich hoffe ein wenig geholfen zu haben


jo.

Das Wurm-Virus richtet auf den infizierten Rechnern keine weiteren Schäden an, kopiert sich aber selbstständig. Dadurch verlangsamt sich die Arbeitsgeschwindigkeit der infizierten Rechner. Außerdem wird das C-Laufwerk infizierter Computer als Netzlaufwerk eingerichtet, wodurch ein Zugriff auf die Festplatte von außen möglich wird. Einige betroffene Firmen haben damit begonnen, ihre Server abzuschalten und Anti-Viren-Software zu installieren und die Sicherheitslücken zu stopfen.
Experten gehen davon aus, dass in den USA bereits 130.000 Server und PCs befallen sind. Aus Japan und China kommen Meldungen von mehreren Hundert befallenen Webservern und Computern.
FBI ermittelt
Bislang ist unklar, wer Nimda ins Internet gespeist hat. Die erste Attacke wurde aus Norwegen gemeldet. US-Justizminister John Ashcroft warnte vor dem Virus. Er ordnete Ermittlungen der Bundespolizei FBI an. Es gebe keine Beweise für einen Zusammenhang zu den Terroranschlägen in New York und Washington.
Inzwischen haben die Hersteller von Anti-Viren-Software Aktualisierungen ihrer Programme ins Internet gestellt, die vor Nimda schützen.

funktioniert der Download von MS für Windows 2000 leider nicht! ???

Ciao

Steinzeit und musste seine Website vom Netz nehmen. Die war
infiziert und konnte - das hat sich mittlerweile mehrfach bestätigt -
dadurch auch andere Rechner "anstecken".

Denn die tückischste Eigenschaft von Nimda liegt genau hier: Das
Virus befällt, eine nun sattsam bekannte Sicherheitslücke im
Microsoft IIS-Server nutzend, Webserver und verändert
Webseiten. Unter anderem dadurch, dass es viröse Links anbietet,
aber auch dadurch, dass es Seiten mit schädlichem
Javascript-Code versieht. Und der - man soll es kaum glauben -
infiziert verschiedene Versionen des Microsoft Internet Explorers -
einfach dadurch, dass sich der Surfer über die betreffenden Seiten
bewegt. Besonders gefährdet, warnt die "c't", seien Nutzer des
Explorers 5.5 in seinen verschiedenen Versionen. McAfee hingegen
warnt vor allem Explorer 5.0-Nutzer

Das erklärt wohl kaum, warum es immer noch Webserver-Betreiber
gibt, die das Sicherheitsleck in ihrer Infrastruktur nicht geflickt
haben (immerhin bietet Microsoft seit über einem Jahr ein
entsprechendes Patch an). Es erklärt aber sehr wohl, warum
angeblich allein in den USA in den ersten Stunden "über 130.000
Rechner" infiziert wurden, wie der PC-Experte David Moore
schätzte.

Ähnlich wie im Fall der vor allem über die gravierenden
Sicherheitslücken des Microsoft-E-Mail-Programmes Outlook
verbreiteten VBS-Script-Würmer setzt auch Nimda an einem
Produkt an, das nahezu monopolhafte Verbreitung besitzt: Die
Explorer von Microsoft sind die mit Abstand häufigst benutzten
Browser, unter ihnen wiederum die 5er-Versionen die populärsten.

Der McAfee-Virenexperete Dirk Kollberg glaubt darum, dass die
Attacke noch lang nicht vorbei ist: Mit 600.000 infizierten
Rechnern, meint Kollberg, könnte man "in den nächsten Tagen"
schon rechnen.

Eine gute und sichere Kombination !!

Oder bin ich etwa nicht objektiv ?

Habe vor einigen Minuten feststellen müssen, das ich den Nimda habe.
Habe sofort mein e-safe geupdated und Rechner hochgefahren.
...
Blauer Bildschirm:
Herzlichen Glückwunsch - Nimda infiziert (*nein*)

e-safe gestartet - 6 x Nimda entfert:
C:\Windows\System\riched20.dll
C:\Windows\System\load.exe
C:\Windows\Temp\mep8002.TMP.exe
C:\Windows\Temp\mepA360.TMP.exe
C:\Windows\Temp\mepA365.TMP.exe
C:\Windows\Temp\mepCOFO.TMP.exe

Habe es daran erkannt, das mein Mauszeiger manchmal Speünge gemacht hat,
und die Endungen einiger Dateien geschluckt wurden.
Nun kann ich wohl nur noch formatieren, weil ich nichts mehr verändern darf;
es hat mir einen Administrator vorgesetzt.

NNNnnnnnnnnnnnneeeeeeiiiiiiiiiiinnnnnnnnn............

www