[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [FYI] (Fwd) Code Rainbow Worm



-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Hallo Gunnar,

Wednesday, September 19, 2001, 12:35:13 AM, you wrote:

> Wieviele hast du denn schon davon bekommen?

Per Mail habe ich komischerweise noch gar keinen be-
kommen, Anfragen an den Webserver gab es seit 16:02
Uhr auch erst 42 (ist allerdings auch nur mein pri-
vater DialUp-Apache). Interessant auch hier [1],
wieviele DialUp-User offensichtlich immer noch un-
gepatchte IIS ins Netz lassen ,(

> Ich hoffe, dass es nicht wieder
> über 2000 werden wie bei SirCam (von dem ich noch immer so 20 bis
> 30 Stück täglich bekomme).

Also im Moment schaut es so aus, als ob es dieses Mal
sogar erheblich mehr werden koennten, vor allem macht
das Biest aber mehr Traffic als Code Red/Sircam. Und
Gerade die Kombination verschiedenster Angriffsverfah-
ren macht Nimda so effektiv ,(

> Weiß schon jemand, woher der neue Virus die Adressen nimmt, an die
> er sich verschickt? Auch wieder aus dem MSIE Browsercache?

Letzter Stand von NTBugtraq:

- --snip--------------------------------------------------------

Infection vectors;
- - -----------------
a) Email as an attachment of MIME audio/x-wav type.
b) By browsing an infected webserver with Javascript execution
enabled and using a version of IE vulnerable to the exploits
discussed in MS01-020 (e.g. IE 5.0 or IE 5.01 without SP2).
c) Machine to machine in the form of IIS attacks (primarily
attempting to exploit vulnerabilities created by the effects of Code
Red II, but also vulnerabilities previously patched by MS00-078)
d) Highlighting either a .eml or .nws in Explorer with Active Desktop
enabled (W2K/ME/W98 by default) then the THUMBVW.DLL will execute the
file and attempt to download the README.EXE referenced in it
(depending on your IE version and zone settings).
e) Mapped drives. Any infected machine which has mapped network
drives will likely infect all of the files on the mapped drive and
its subdirectories

[..]

- --snip--------------------------------------------------

[1] http://fx3.dyndns.org/nimda.html

- --
Best regards,
 Joerg-Olaf

-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5i
Comment: #wtc (IRCnet) Linklist: http://wtc.fx3.de/

iQA/AwUBO6fGcaS04wBhKfC+EQIZcQCg5yuh0tgmGKeA0QHNCpvDR2uUHa4AoINA
RTkS/b61AhG1H++XJBiKQBbC
=IwPZ
-----END PGP SIGNATURE-----