fakta om Nimda

http://vil.mcafee.com/dispVirus.asp?virus_k=99209

http://www.virus112.com/index.php?page=artikel&artid=275

Begge ting er rigtig.
www.it-avisen.dk <-- Der er en artikel der bekræfter det.

Og ellers er der +10 spørgsmål der omhandler det samme her:
http://www.eksperten.dk/kategori/95

http://www.antivirus.com/pc-cillin/vinfo/virusencyclo/default5.asp?VName=PE_NIMDA.A

Dejligt værktøj til at fjerne den med :-) - samt lidt info.

\"Hvad sker det når man besøger en hjemmeside med virusen? Har man virussen uden at skulle sige ja til at gemme eller starte noget?\"

Ja du opdager det ikke. Men virussen er jo kun til IE/OE :-)


\"Når man får den via email, får man den så uden at man skal sige ja til at gemme eller starte noget?\"

Ja at se den i \"preview\"-mode er nok til at du har den.

prodic: det gælder også MS Outlook, og der har jeg hørt, at den ikke aktiveres automatisk hvis man har preview pane aktiv. Der sker kun i OE.

hmm. jeg vidste ikke at man kunne åbne en .eml fil fra HTML uden at brugeren skulle bekræfte, men det har jeg lige selv prøvet.

For at være helt sikker, når du nu trykker på tilsendt email med virus i og den vises i preview-vinduet (slog det fra allerede i går, er det nok?), starter virussen så uden at man skal sige \"ja gem\" eller \"ja, kør\" ??

de links i henviser til skrive ikke noget om mit spm, eller hvad? Jeg ville da gerne se noget fra et anderkendt site :)

stigc->Hvis dit preview er slået fra, så kan du ikke modtage den eller aktivere den før du åbner/læser mailen. Men det er tilgengæld også nok at åbne/læse den.

Ang. det med eml\'en så sker det via en URL der kan give adgang til harddisken(har jeg læst et sted)

stigc: citat fra mit virus112 link, så du har tydeligvis ikke læst det ordentligt

Nimda udnytter en gammel sårbarhed i IE/outlook, der gør at man uden at blive spurgt kan blive lokket til at eksekverer .exe filer eller lign. Dette gør at man ved blot at gå ind på en inficered hjemmeside, kan blive smittet! Dog har microsoft lavet et patch mod dette, så man i det mindste bliver spurgt først:

http://www.symantec.com/avcenter/venc/data/w32.nimda.a@mm.html

det er sku ikke særlig rart at læse. takker for information

Takker for point

/Rene

Takker for point - håber du kan tyde den sidste url.

Mit link gjorde nu også opmærksom på det:
http://www.it-avisen.dk/nyheder.asp?id=2650

\"Det specielle ved Nimda er, at den ikke alene spredes som inficeret mail, men også benytter Internet Explorer til at inficere brugere gennem et besøg på en inficeret hjemmeside. Endvidere formår den at inficere PC&#8217;en, uden at brugeren skal klikke på den vedhæftede fil. Det er nok blot at klikke på den inficerede mail.\"

Med et link direkte fra forsiden.

er der nogen der har emailen og readme.exe hver for sig, og kan jeg få en kopi?

explore version 5.00 behøver ikke patchen eller hvad?

tommyf  >> Der står kun at du ikke behøver at trykke på den, men ikke om man får vinduet om at man vil gemme eller starte.

W32.Nimda.A@mm is a mass-mailing worm that utilizes multiple methods to spread itself. The worm sends itself out by email, searches for open network shares, attempts to copy itself to unpatched or already vulnerable Microsoft IIS web servers, and is a virus infecting both local files and files on remote network shares.

The worm uses the Unicode Web Traversal exploit. A patch and information regarding this exploit can be found at http://www.microsoft.com/technet/security/bulletin/ms00-078.asp.

When the worm arrives by email, the worm uses a MIME exploit allowing the virus to be executed just by reading or previewing the file. Information and a patch for this exploit can be found at http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

If you visit a compromised Web server, you will be prompted to download an .eml (Outlook Express) email file, which contains the worm as an attachment. You can disable \"File Download\" in your Internet Explorer internet security zones to prevent this compromise.

Also, the worm will create open network shares on the infected computer, allowing access to the system. During this process the worm creates the guest account with Administrator privileges.

Jeg gav med vilje linket til forsiden da der er 2 artikler:
http://www.it-avisen.dk/nyheder.asp?id=2657

\"Når man har downloadet de nødvendige sikkerhedspatch, sker der følgende, hvis man kommer ind på en inficeret side: der popper en dialogboks op, som spørger om man vil åbne filen \"readme.exe\". Her skal man selvfølgelig svare \"Cancel\".\"
- Så burde det værer muligt at regne resten ud. Men det er vist ikke værd at bruge merer tid på.

hvis jeg har v5.00 er så jeg nød til at installere sp2 ?

Hvad der sker kan du læse i mit lille oplevelse som jeg har beskrevet på ekspertftp.

kharder
icq# 71258492
www.expertftp.subnet.dk