Un nuevo virus llamado Nimda, híbrido entre CodeRed y SirCam empieza a hacer estragos. Su característica más peligrosa, es que el mensaje NO NECESITA SER ABIERTO para infectar la computadora, basta con que se previsualice para ejecutar el código maligno y comenzar el desastre.
El virus, lleva un adjunto readme.exe que se autoejecuta al ver el correo, sin necesitar su ejecución voluntaria. El archivo adjunto, puede cambiar de nombre en futuras versiones, así que desconfiad de todo adjunto sospechoso.
Para causar el daño, utiliza un agujero en Internet Explorer 5, de modo que los usuarios de IE 6 no tienen ese problema. De momento no existe vacuna y se recomienda desactivar la previsualización de los mensajes, actualizar el navegador, o directamente poner el correo en cuarentena hasta que el virus pueda ser eliminado.
El virus, lleva un adjunto readme.exe que se autoejecuta al ver el correo, sin necesitar su ejecución voluntaria. El archivo adjunto, puede cambiar de nombre en futuras versiones, así que desconfiad de todo adjunto sospechoso.
Para causar el daño, utiliza un agujero en Internet Explorer 5, de modo que los usuarios de IE 6 no tienen ese problema. De momento no existe vacuna y se recomienda desactivar la previsualización de los mensajes, actualizar el navegador, o directamente poner el correo en cuarentena hasta que el virus pueda ser eliminado.
No sera esto una artimaña para q todo kiske se actualize a la nueva mierda de moco$oft?
Huele mu raro la verdad.....
Kerria hacer una pregunta sobre el virus.Tengo a una amiga k parece k le ha entrado un virus por mail.Segun dice le ha entrado kuando ha abierto el mensaje pero sin haber tocado el archivo adjunto.Y ahora se ve k le envia a todas las direcciones k tiene archivos suyos con el virus si los abres.Mi pregunta es la siguiente:se trata de este nuevo virus o es el famoso Sircam?Ya k me gustaria pasarle el antivirus con la vacuna pa machacar el virus.Por Favor , si alguien lo sabe pos k me informe.
Muchas gracias por adelantado y un saludo.
¿Alguien sabe si afecta a windows NT 4.0?
¿Alguien sabe como eliminarlo por completo?
¿Alguien sabe si afecta a windows NT 4.0?
¿Alguien sabe como eliminarlo por completo?
joder, mi ordenador esta chunguisimo y no tengo ni idea de lo que le pasa.
Sacado de C.Command.
----
Central Command first discovered the Win32.Nimba.A@mm
Internet worm on 09/18/2001 but is releasing a second warning
about this worm to all users. This worm is spreading fast globally
and Central Command recommends all users to update AntiVirus
eXpert immediately to protect against this worm.
Name: Win32.Nimda.A@mm
Aliases: W32/Nimda.A
Type: File Infector & Internet Worm, written in Visual C
language
Size: 57344 bytes
Risk: High
ITW: Yes
Description:
This virus comes through e-mail as an attached file, with the
body of the mail apparently empty but which actually contains
code to use an exploit which will execute the virus when the user
just view the message (if is using Outlook or Outlook Express
without latest Service Packs or patches from Microsoft). When is
installed it copies itself in the system directory with the name
load.exe. Also it copies over the library riched20.dll modifying
itself to be loaded as a DLL (Dinamically Link Library). This DLL
is used by applications that work with Richedit Text Format such
as Wordpad.
To be activated at every reboot the virus modifies system.ini in
the boot section by writing the following line: shell=explorer.exe
load.exe -dontrunold
In Windows NT/200 the virus attaches a thread to explorer.exe to
run its viral code and in Windows 95/98/ME it registers itself as a
service process. With these actions the virus remain invisible to
the user.
To spread it uses MAPI (Mailing API) functions to read user's e-
mails from where it extracts SMTP (Simple Mail Transfer
Protocol) server addresses and e-mail addresses. It is able also
to send e-mails without MAPI functions, but connecting directly
to a SMTP server.
Another method to spread is by using Unicode Web Traversal
exploit similar to CodeBlue. Information and a patch for this
exploit are located at
http://www.microsoft.com/technet/security/bulletin/ms00-078.asp
The virus creates 200 threads and tries to send itself, using the
specified exploit, to an IIS server. Using this exploit the virus gets
control of the execution flow on that server and download itself
under the name admin.dll, then puts a HTML code in the web
page hosted by the IIS server to download the virus. To do this it
tries to modify the files with the name: index, main, default and
with the extension one of: .html .htm .asp
Also the virus enumerates the network resources visible to the
infected computer and tries to copy in shares.
When running in Windows NT/2000, the virus is capable of
infecting files by attaching the executable as a resource with raw
data named f in the virus program. When the infected file is
executed the virus has the control and executes the original file
so the user doesn't notice anything unusual. This is
accomplished by dropping that f resource in a file with the same
name as the original but with a space appended, followed by
.exe.The virus reads from registry the keys contained in:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVe
rsion\App Paths This key contains the paths to all applications
installed in the system. One exception of the infection routine is
that the virus avoids infecting the file winzip32.exe.
Also, when running under NT, the virus creates the user guest
with no password and add it to the Administrator group. It creates
a share for every root directory (from C to Z) with all access
rights.
The virus is able to disable the proxy by modifying the keys:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVer
sion\Interne t Settings\MigrateProxy 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVer
sion\Interne t Settings\ProxyEnable 0
HKEY_CURRENT_CONFIG\Software\Microsoft\Windows\Current
Version\Inter net Settings\ProxyEnable 0
Leaving the library riched20.dll overwritten by the virus will
reactivate it when a program using this library is executed.
As a signature the following text can be found in the file: Concept
Virus(CV) V.5, Copyright(C)2001 R.P.China
-------
Saludos.
modifica las paginas htm(l), asp buscando las tipo index o default para insertar el codigo de manera que cuando un cliente ie5.0 o 5.5 sin parchear la solicitan quedan infectados.