View Full Version : Consiglio per bloccare il Nimda


Bilancino
22-09-2001, 01:32
Ancora non ho capito le modalità di come si può attivare visitando un sito però posso presumere che venga attivato attraverso i controlli ActiveX oppure con i java Script quindi per evitare un possibile contagio si può provare ad configurare il firewall in modo molto restrittivo in modo di bloccare sia i Activex e i java script. Io fino ad ora non sono stato contagiato. Inoltre è meglio in outlook e similari disabilitare l'antremima dell'e-mail.

Ciao

Solero
22-09-2001, 10:28
Basta avere IE 5.5 aggiornato all'sp2

Bilancino
22-09-2001, 11:04
Può essere una soluzione ma fidarsi di explorer.......un buon firewall forse è la scelta migliore.

Ciao

Solero
22-09-2001, 17:57
Basta leggere su qualsiasi report sul virus nimda in cui c'è scritto che con l'explorer 5.5 sp2 eviti il contagio da web!

Bilancino
22-09-2001, 23:46
Certamente è vero ma non tutti usano explorer, nella mia univerità si usa netscape. Inoltre non tutti fanno gli aggiornamenti nel modo opportuno........


Ciao

Pronius
23-09-2001, 11:52
Io uso Zone Alarm come firwall, ma me lo sono beccato lo stesso il Nimda

Non ho ancora capito come, visto che sono un po' fanatico di protezione in internet e quindi pensavo che Black Ice Defender, Norton , Zone Alarm, AVPK avrebbero dovuto fermarlo o avvisarmi...

...invece niente, e non sono uno che legge il file in allegato... per me che sono appunto fissato della protezione in rete sono veleno puro, non li ho mai aperti se non controllando più volte.

Quindi non so... e andesso molti programmi non vanno più.


Credo che Bilancino abbia ragione: da quello che ho capito non entra con un HTML semplice ma attraverso dei buchi delle plug-in dell'Explorer... Java, Active X, o boh, dubito fortemente che possa entrare solo con con un semplice insieme di immagini e testi ha bisogno di un eseguibile che attivarsi nel load.exe di windows.

Ciaoz e tanta salute a tutti.

Bilancino
23-09-2001, 14:44
mi preoccupano anche i plug-in di flash e similari.......io li ho rimossi e non li accetto fino a quando i servers sono a posto.......

Ciao

fabio&carl
23-09-2001, 17:59
x Pronius
dimmi x favore, come ti sei accorto di averlo addosso? Mi sembra una brutta bestia, visto che ti infetta anche solo visitando un sito colpito!!! Ho letto le info di msb......ma ci sono un casino di patch e non ho capito molto.......come faccio a sapere se l'ho (venerdì un sito che visito abitualmente era stranabente lento, forse l'aveva)? E gli event rimedi?
Prego gli esperti di chiarirci Grazieeeeeeee

Bilancino
23-09-2001, 18:07
Se hai il Nimda molti programmi non funzionano, inoltre è meglio come ho già detto di cancellare tutti i plug-in, disabilitare tramite il firewall gli activex e le applet java, perchè un virus per essere attivato deve essere eseguito e solo questi moduli possono far eseguire un programma. Fino a quando i server non si proteggono e meglio navigare così io fino ad ora non l'ho preso......

Ciao

Solero
23-09-2001, 21:52
Per non prendere il Nimda basta avere Internet Explorer 5.5 agg. all'sp2

Pronius
24-09-2001, 20:39
Originariamente inviato da fabio&carl
[B]x Pronius
dimmi x favore, come ti sei accorto di averlo addosso?

Su win 98 o 98SE fai Start e poi Esegui

digita sulla finestrella "system.ini"

Ti si apre una finestra in blocco notes

sotto [boot] dovrebbe essere scritto, se non sei contaggiato, solo shell=Exlorer.exe

Se invece hai scritto "shell=Explore.exe - dontlrun" o una cosa del genere, allora sei infettato.

Comunque non fare nessuna operazone sul file "system.ini" mi raccomando, a meno che tu non sappia cosa stai facendo.

GreG
25-09-2001, 00:32
qualcuno invece sa come si capisce se si è infettati sotto Win 2000?!?!?!

.....finora nel mio PC non ho riscontrato stranezze (...grat!...grat!...) ma ad un mio carissimo amico ho riscontrato i sintomi del Nimda....


GreG

Bilancino
25-09-2001, 01:08
Di seguito sono elencate le modifiche fatte dal virus:
Sono della Symantec

System Modifications

When executed the worm determines from where it is being executed. The worm then overwrites Mmc.exe in the \Windows folder, or creates a copy of itself in the Windows Temporary folder.

The worm then infects executables, creates itself as .eml and .nws files, and copies itself as Riched20.dll in folders that contain .doc files on the local drive. The worm searches for files in the paths listed in the registry keys:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\App Paths

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\Shell Folders

The worm hooks the system by modifying the System.ini file as follows:

Shell = explorer.exe load.exe -dontrunold

It also replaces the file Riched20.dll. Riched20.dll is a legitimate Windows .dll file that is used by programs such as Microsoft Word. By replacing this file, the worm is executed each time programs such as Microsoft Word are executed.

The worm also registers itself as a service process or adds itself as a remote thread to the Explorer process. This allows the worm to continue to execute even when a user is not actively logged on.

The worm copies itself as the file:

%Windows\System%\load.exe

NOTE: %Windows\System% is a variable. The worm locates the \Windows\System folder (by default this is C:\Windows\System) and copies itself to that location

Next, the worm creates open network shares for all drives on the computer by modifying the registry key:

HKLM\Software\Microsoft\Windows\
CurrentVersion\Network\LanMan\[C$ -> Z$]

A reboot of the computer is required for these settings to take effect.

The worm searches for all open shares on the network by iterating through Network Neighborhood and by utilizing randomly generated IP addresses. All files on any open network shares are examined for possible infection. All .exe files are infected by the worm except Winzip32.exe.

Next, .eml and .nws files are copied to the open network shares and the worm copies itself over as Riched20.dll to any folder that contains .doc files.

The worm changes Explorer settings to not show hidden files and known file extensions.

The worm adds the user Guest under the groups Guests and Administrators. This gives the guest account Administrative privileges. In addition, the worm actively shares C$ = C:\ No reboot is required.

Il Tool per rimuovere il virus e altri conusciuti sono nel mio sito alla pagina download----->Antivirus

Ciao

GreG
25-09-2001, 01:27
grazie davvero Bil!....l'ho già scaricato ieri sera.....:cool:

Billow
26-09-2001, 14:34
http://www.wintricks.it/recensioni/nimda.html

;) ;)

dr650se
26-09-2001, 19:52
questo bel giokino che con exploder 5.5 sp2 si evita, si fa lo stesso anke con exploder 6 o no? cmq io uso sempre opera e nimda nn so proprio ke sia... so invece chi era il re MIDa ;)

ciao, illuminatemi!!!!

Mulder
26-09-2001, 22:08
Me lo sono beccato ieri sera il nimda,il norton me lo ha segnalato e sinceramente ho lasciato fare a lui x eliminarlo,poi ho spento e non ci ho più pensato.Non ho ancora avuto modo di riaccendere il portatile dite che non ha risolto una mazza il norton?

Bilancino
26-09-2001, 22:26
Dipende quale nimda hai preso perchè c'è l'allegato e-mail e c'è quello che prendi scaricando una pagina web. Se norton è aggiornato e l'anteprima dell' e-mail è disabilitatà (come la tengo io) dovresti essere salvo.


Ciao

Mulder
26-09-2001, 22:44
Allegati non ne ho ricevuti,credo di averlo preso navigando non leggendo la posta(credo).
L'antivirus fortunatamente è aggiornato,ma come si disabilita l'anteprima della posta?

Solero
26-09-2001, 23:33
Norton 2001 e 2002 scannano gli allegati prima di farli vedere in anteprima! quindi no problem!
Se poi avete anke ie aggiornato al 5.5 sp2 siete completamente al sicuro!!!!!!!!!!!!!!!!!!!

Bilancino
27-09-2001, 00:10
Per Outlook 5 e 5.5:

Visualizza----->Layout------>Riquadro in anteprima non spuntarlo

Ciao

ferra76
29-09-2001, 01:18
Il file loadwc.exe in c:\windows\system è OK?

TnX

Bilancino
29-09-2001, 01:30
In che senso Ok? Io comunque l'ho visto ed è di 14k

ferra76
29-09-2001, 01:34
Cioè, se è normale che sia presente sul mio pc.
Comunque il mio è di 13.2K (16.3).
TnX