Virus-abwehr NIMDA !

Beiträge: 12
Zugriffe: 763 / Heute: 1
1Mio.€:

Virus-abwehr NIMDA !

 
22.09.01 10:24
> Auszug aus Computer-Channel:
>
> Der neue Internet- Wurm Nimda verbreitet sich mit rasanter
> Geschwindigkeit.
> Europaweit seien bereits mehr als 15.000 Unternehmen betroffen, teilte
> Antivirensoftware-Hersteller Trend Micro mit.
>
> Im Unterschied zum "Code Red"-Virus der vor kurzem für Aufregung sorgte,
> attackiert der "Nimda"-Wurm jedoch auch private Rechner.
>
> Der Schädling nutzt offenbar schon lange bekannte Sicherheitslücken in
> Windows-Systemen und verbreitet sich auf drei Wegen: über das Web, über
> E-Mail und über freigegebene Laufwerke.
>
> So verbreitet sich Nimda:
>
> Verbreitung über das Web:
>
> Für den Internet Information Server (IIS) von Microsoft gibt es seit
> längerer Zeit einen Patch, der das Sicherheitsloch schließt, welches
> "Nimda"
> als Einfallstor benutzt. Allerdings ist dieser Patch längst nicht auf
> allen
> IIS installiert. Wird eine infizierte Webseite besucht, wird ein neues
> Browser-Fenster mittels Javascript geöffnet und der dort in einer
> Maildatei
> enthaltene Virus-Code direkt ausgeführt. Ist Javascript deaktiviert, so
> schlägt die Infektion fehl.
>
> Verbreitung über E-Mail:
>
> "Nimda" durchsucht das E-Mail-Postfach sowie temporäre "htm"- und
> "html"-Dateien nach Mail-Adressen und verschickt sich dann selbst an die
> gefundenen Adressen. Der E-Mail-Anhang "readme.exe" ist in der Regel ein
> MIME-Typ Audio/X-Wav und kann daher den Code mittels Media Player
> automatisch starten.
>
> Achtung: Der Datei-Anhang muss nicht angeklickt werden. Es genügt bereits,
> wenn bei Outlook oder Outlook Express das Vorschaufenster aktiviert ist.
> Heimtückisch: Der Wurm verschickt sich zum Teil mit gefälschten

> Absenderadressen, das heißt, eine Mail kann scheinbar von einer Person
> kommen, die gar nicht infiziert ist und dann fälschlicherweise beschuldigt
> wird.
>
> Verbreitung über freigegebene Laufwerke:
>
> Der Wurm gibt auf befallenen Computern Laufwerke frei und richtet einen
> Gast-Zugang mit Administrator-Rechten ein. Danach wird nach weiteren
> freigegebenen Laufwerken gesucht. Die darauf enthaltenen exe-Dateien
> werden
> durch den Wurm-Code "ergänzt": Sie bleiben weiterhin lauffähig, aber der
> Wurm wird jeweils als erstes gestartet. User, die daraufhin Daten von
> diesem
> Laufwerk starten, infizieren ihren Rechner dadurch ebenfalls mit "Nimda".
>
> So erkennen Sie "W32/Nimda"
>
> Beim ersten Hinsehen erkennt man "W32/Nimda" nicht. Denn er macht sich
> nicht
> durch Bildschirmmeldungen o.ä. bemerkbar. Um sicher zu sein, ob das System
> infiziert ist, bedarf es schon eines Virenscanners oder eines Blicks in
> die
> Tiefen des Systems:
>
> Die Datei readme.exe – dies ist der eigentliche Viruscode –
> ist
> 57344 Byte
> groß. Wenn Sie also eine Datei mit diesem Namen und exakt der gleichen
> Größe
> auf ihrer Festplatte haben, sollten Sie sich um geeignete Abwehrmaßnahmen
> kümmern.
>
> Wenn auf dem Laufwerk C: im Hauptverzeichnis die Datei "admin.dll"
> vorhanden
> ist, ist Ihr System infiziert, da es diese Datei auf gesunden Rechnern
> nicht
> gibt.
>
> Ist das System infiziert, laufen alle Programme – zum Beispiel Word
> – normal
> weiter. "Nimda" infiziert die exe-Dateien, indem er seinen eigenen Code
> buchstäblich anklebt. Bei jedem Start von Word wird der Wurm nun wieder
> aktiv.
>
> Die infizierten Programme können nicht manuell repariert werden. Aktuelle
> Virenscanner erledigen das säubern der Datei völlig automatisch - erkennen
> können ihn mittlerweile alle Scanner.
>
> So schützen Sie sich vor dem Nimda-Virus
>
> Der Internet-Wurm "W32/Nimda" verbreitet sich rasend schnell. Um sich
> wirkungsvoll zu schützen oder den Wurm zu entfernen, sollte man auf jeden
> Fall eine Antivirensoftware mit den neuesten Virensignaturen installieren.
>
> Der erste Schritt: Antivirensoftware installieren/aktualisieren
> Der erste und wichtigste Schritt für jeden Anwender und Administrator
> eines
> Webservers muss darin bestehen, die Antivirensoftware auf den aktuellen
> Stand zu bringen.
>
> Das Tückische am "Nimda"-Wurm ist, dass er von den alten Programmversionen
> nicht erkannt wird, auch wenn sie erst wenige Stunden vor dem Auftauchen
> des
> Wurms aktualisiert wurden. Die Hersteller haben aber schnell reagiert: So
> gut wie alle bieten mittlerweile auf ihren Webseiten Updates an.
> Vorbeugen, damit es erst gar nicht zur Infektion kommt
> Laut Virenexperten sind Würmer wie "Code Red" und "Nimda" erst der Anfang
> einer Kette von höchst gefährlichen Attacken auf den Rechner.
>
> Hauptangriffsziel der Viren sind die Sicherheitslücken im Internet
> Explorer
> sowie dem Internet Information Server. Updates und Patches wurden bereits
> von Microsoft bereitgestellt, viele Anwender scheuen sich aber noch, diese
> auch aufzuspielen, frei nach dem Motto "Never touch a running system". Ein
> fataler Fehler, wie sich an der Zahl der immensen Virenausbreitungen und
> den
> daraus folgenden Schäden zeigt.
>
> Somit ist nur jedem ans Herz zu legen, sowohl den Internet Explorer als
> auch
> IIS auf den neuesten Stand zu bringen.
>
>
> --
> GMX - Die Kommunikationsplattform im Internet.
> www.gmx.net
Zick-Zock:

viélen dank ! o.T.

 
22.09.01 11:05
Totalverlust:

Nimda

 
22.09.01 12:05
TREND MICRO stellt ein Fix-Tool für infizierte Systeme zur Verfügung.
www.trendmicro.de/virinfo/n_enz.php?id=PE_NIMDA.A

Info von Microsoft:
www.microsoft.com/technet/treeview/...ecurity/topics/Nimda.asp
mod:

Bitte um Hilfe! Habe "admin.dll" im Pfad

 
22.09.01 12:06
C:\Programme\gemeinsame Dateien

aber nicht den eigentlichen Virus readme.exe

Norton-Antivirus ist auf aktuellem Stand, erkennt aber diese Datei nicht.

Was soll ich jetzt tun?

Bitte um eine Antwort! Vielen Dank

Viele Grüße
mod
Totalverlust:

@mod

 
22.09.01 12:09
versuch mal das Fixtool von Trend Micro. Vorher aber deinen Virenscanner abschalten !

totalverlust
mod:

@totalverlust, danke; bereits angesehen , aber? o.T.

 
22.09.01 12:14
DarkKnight:

check this:

 
22.09.01 12:18
 www.tu-berlin.de/www/software/hoaxlist.shtml


 
DarkKnight:

http://www.tu-berlin.de/www/software/hoaxlist.html

 
22.09.01 12:20
www.tu-berlin.de/www/software/hoaxlist.html
mod:

danke, DarkKnight, scheint Fehlinfo zu sein,

 
22.09.01 12:44
admin.dll

bei mir auf dem Pfad

C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Server Extensions\40\isapi\_vti_adm

HOAX?

1Mio.€:

up ----------------> weil wichtig o.T.

 
24.09.01 07:26
vega2000:

Einen Grünen für Mio o.T.

 
24.09.01 07:30
1Mio.€:

Danke :-)

 
24.09.01 08:33
Nimda.A: Trendmicro bietet Fix kostenlos an (Update)
Donnerstag, den 20.09.01 17:01  

www.onlinekosten.de    


Die Firma Trendmicro hat ein Fixtool für infizierte Systeme bereitgestellt, das in der Lage ist, das System von dem Virus PE_NIMDA.A zu bereinigen. Das Tool richtet sich dabei vor allem an den Windows-Endverbraucher, der mit dem Virus infiziert wurden, beseitigt also nicht die Fehler im IIS.

Trendmicro deckt mit dem Tool die Plattformen Win9x, WinNT und Win2000 ab, es dient zur schnellen und effizienten Säuberung inifizierter Systeme. Hierzu muss eine "Anleitung" befolgt werden, damit die Verbreitungswege des Wurms abgeschnitten sind.

Folgende Schritte sind notwendig (detailierte Informationen finden Sie auf der Hersteller-Homepage):


Dieser Wurm kompromittiert die Sicherheit des Filesystems indem er die lokalen Laufwerke im Netzwerk freigibt . Bitte entfernen Sie diese Shares. Dies ist wichtig, da sich der Wurm über diese Shares weiterverbreitet

Ändern Sie in der System.ini die Zeile
Shell=explorer.exe load.exe -dontrunold
Nach:
Shell=explorer.exe

Lassen Sie im Explorer alle Dateitypen anzeigen und löschen Sie alle load.exe und riched20.dll im SYSTEM-Verzeichnis von Windows

Löschen Sie den Inhalt der Wininit.ini

Scannen Sie Ihren PC mit den aktuellsten Virensignaturen und lassen Sie alle Dateien, die als mit PE_NIMDA.A infiziert angezeigt werden, säubern. Manche der Dateien können korrupt sein oder enthalten nur den Code des Wurms. Löschen Sie diese Dateien


Gleichzeitig sollten Sie natürlich ebenfalls die aktuellen Patches von Microsoft, die Sie auf der Microsoft-Infoseite zu Nimda finden, installieren, sofern Sie noch einen Browser benutzen, der es erlaubt, dass .exe-Anhänge von E-Mails ausgeführt werden.

Update


Die Frankfurter Internetagentur sixworx hat unter der URL www.sixworx.de/home/olimac/ eine Testseite ins Netz gestellt, auf der man auf denkbar einfache Weise testen kann, ob das eigene System gegen den Computer-Virus "NIMDA" resistent ist.

Es reicht bereits aus, die angegebene URL aufzurufen. Startet dann der eigene Rechner das Windows-Programm "Notepad", bedeutet dies, dass er auch gegen NIMDA nicht gefeit ist. Möglich wurde dieser simple Test, indem das von NIMDA ausgeführte Programm, also das eigentliche Virus, durch den Aufruf von "Notepad" ersetzt wurde.
(amo)


Es gibt keine neuen Beiträge.


Börsen-Forum - Gesamtforum - Antwort einfügen - zum ersten Beitrag springen
--button_text--