readme.eml/W32/Nimda@mm

http://www.eksperten.dk/spm/111047
http://www.eksperten.dk/spm/111029
http://www.eksperten.dk/spm/111013
http://www.eksperten.dk/spm/110997
http://www.computerworld.dk/Vis_artikel.asp?ArticleID=12018

Virus112 A/S sendte tirsdag kl. 17.17 alarm mod en hidtil ukendt virus. Den benytter sig af Internet Explorer til, at inficere brugere gennem et besøg på en inficeret hjemmeside.

Den bruger et script der minder om CodeRed hvor den prøver med diverse exploits, at inficere web-serveren.

Når den er inficeret på en privat bruger lægger den sig i c:/windows/temp/readme.exe og fungerer som f.eks. en CodeRed der angriber videre på andre systemer.

Virusen stammer tilsyneladende fra Kina, da der står en copyright i readme.exe.


Dette betyder så, at blot du besøger en hjemmeside, bliver din computer inficeret........


Virus112 anbefaler alle at holde øje med de antivirus producenternes hjemmesider for at se hvornår signatur filerne er tilgængelige. Så snart de er tilgængelige skal antivirus produktet opdateres. Man bør ikke benytte Internet Explorer før man er beskyttet.


Skulle du alligevel ønske at bruge internet explorer er der her en vejledning i alternativ beskyttelse:

1) Start Internet Explorer.

2) Gå op i funktioner og vælg \"Internetindstillinger\".

3) Klik på fanebladet, der hedder sikkerhed.

4) Her klikker man på \"Brugerdefineret niveau\" i bunden.

5) Her kommer en boks frem, der hedder \"indstillinger for sikkerhed\".

6) Næsten nede i bunden af den liste, der kommer frem ligger en menu, som hedder \"Script\".

7) I undermenuen \" Active-Scripting\", skal der klikkes på \"deaktiver\". Så den er markeret.

8) Klik på \"ok\". Her kommer man tilbage til Internet indstillinger.

9) Her kommer en boks frem og spørger: \"Vil du ændre sikkerhedsindstilligerne for denne zone\"? Svar \"ja\".

10) Vælg \"ok\". Og du er nu sikret mod at blive inficeret via din browser.


Sådan beskytter man serverfladen :

Da Nimda bruger mange forskellige nye og gamle exploits, anbefaler Virus112 at man går ind på Microsofts hjemmeside og opdaterer med alle de sidste nye sikkerheds-patches. Man kan eventuelt bruge en anden browser til at downloade dem

Du kan have fået den via mail... men mere sansynligt ved at åbne en inficeret webside.

Vireussen adder lidt java til inficerede sider, der kopierer virussen til din maskine.

Læs mere på http://www.f-secure.com/v-descs/nimda.shtml og http://www.f-secure.com/news/2001/news_2001091900.shtml

fra virus112:
Sådan beskytter du dig imod Nimda
18-09-2001

Nimda er den nye trussel. For at beskytte dig imod Nimda anbefaler Virus112 alle brugere, enten at bruge en alternativ browser eller alternativt at følge denne vejledning, hvis man ikke helt vil undlade at bruge Internet Explorer.

Følg denne vejledning :

1) Start Internet Explorer.

2) Gå op i funktioner og vælg ”Internetindstillinger”.

3) Klik på fanebladet, der hedder sikkerhed.

4) Her klikker man på ”Brugerdefineret niveau” i bunden.

5) Her kommer en boks frem, der hedder ”indstillinger for sikkerhed”.

6) Næsten nede i bunden af den liste, der kommer frem ligger en menu, som hedder ”Script”.

7) I undermenuen ” Active-Scripting”, skal der klikkes på ”deaktiver”. Så den er markeret.

8) Klik på ”ok”. Her kommer man tilbage til Internet indstillinger.

9) Her kommer en boks frem og spørger: ”Vil du ændre sikkehedinstillligerne for denne zone”? Svar ”ja”.

10) Vælg ”ok”. Og du er nu sikret mod at blive inficeret via din browser.

De fleste antivusprogrammer understøtter endnu ikke virussen. Men der vil komme opdaterede signaturfiler til de fleste i løbet af dagen. Sørg for at opdatere dit antivirussoftware løbende i løbe af dagen ;)

NanoQ

1. Run LiveUpdate to make sure that you have the most recent virus definitions.
2. Start Norton AntiVirus (NAV), and make sure that NAV is configured to scan all files. For instruction on how to do this, read the document How to configure Norton AntiVirus to scan all files.
3. Run a full system scan.
4. If any files are detected as infected by W32.Nimda.A@mm or W32.Nimda.A@mm (html), click Repair.
5. If any files are detected as infected by W32.Nimda.A@mm (dr) or W32.Nimda.A@mm (dll), click Delete.
6. Reboot the computer.
7. Repeat steps 1-6 above until no more files are detected as W32.Nimda.A@mm.
8. Delete the following text from the Shell= entry in system.ini: load.exe -dontrunold
9. Remove unnecessary shares.
10. Delete the guest account from the Administrators group (if applicable)

Jeg kan se, at der er kommet mange oplysninger på virussen siden i går (Jeg har været helt koblet af, bogstavligt talt)...
Jeg har slettet så mange filer for at slippe af med virussen, at min comp. overhovedet ikke virker efter hensigten... men jeg kan ikke slette load.exe og et par andre, der tilsyneladende er oprettet på infectionstidspuktetet... - hvad kan jeg gøre så?
Jeg kan ikke komme på nettet, med min stationære, inficerede comp - så jeg har ikke mulighed for at få den scannet af et virusprogram...

Det sted, jeg tror, comp. fik virussen var på en af mine egne sider (som jeg selvfølgelig tog af nettet umiddelbart derefter) - Er den så kommet ind på mit web-hotel via det hosting firma jeg bruger - eller hvad?

Prøv at slette dem i fejl-sikker tilstand

hvilken F-knap skal jeg bruge for at komme ind i fejlsikret (har glemt det:) ?

F8 eller F5 :)

tak - jeg prøver...

det må være F8, F5 prøvede jeg i går ;)

bingo!

Har du fået dem slettet

nej

Jeg har win98 liggende på min anden hdd, da jeg er igang med at skifte primary/slave (men kom fra det igen, anden historie) - Vil dette styresystem også være smittet, eller tror i, at jeg kan skifte primary, og så formatere den gl. hdd, og derved  blive virusfri...

Jeg har kæmpet med Nimda siden i går aftens... jeg gider ikke mere!

Lyder meget sandsynligt at det vil være muligt, man må ligesom formode, at den ikke kan angribe et andet styresystem, som ikke er aktiv.
Men jeg vil kraftigt anbefale, at få fat i virusprogram fordi at I Outlook behøver du ikke en gang dobbelt-klikke på et vedhæftet dokument for at få aktiveret virussen. Bare du markerer mailen i din liste over mails og læser den med preview, går den i gang.

Ja, det er møg-trælst :)
- Jeg håber, at jeg har fået beskyttet den bærbare her godt nok ...

Men virusprogrammer - er det ikke spild af penge?
Jeg fik nimda allerede i går aftes - der var der ingen beskyttelse alligevel - et samme, dajeg mistede alle mine billeder med \"i love you\" ....

Takker for point

virusprogrammer...koster de penge!!!!!!

så spild af hdd-plads da.... Jeg har ikke den store tiltro til dem!