Consiglio per bloccare il Nimda

Bilancino · 22-09-2001, 01:32

Ancora non ho capito le modalità di come si può attivare visitando un sito però posso presumere che venga attivato attraverso i controlli ActiveX oppure con i java Script quindi per evitare un possibile contagio si può provare ad configurare il firewall in modo molto restrittivo in modo di bloccare sia i Activex e i java script. Io fino ad ora non sono stato contagiato. Inoltre è meglio in outlook e similari disabilitare l'antremima dell'e-mail.

Ciao

Solero · 22-09-2001, 10:28

Basta avere IE 5.5 aggiornato all'sp2

Bilancino · 22-09-2001, 11:04

Può essere una soluzione ma fidarsi di explorer.......un buon firewall forse è la scelta migliore.

Ciao

Solero · 22-09-2001, 17:57

Basta leggere su qualsiasi report sul virus nimda in cui c'è scritto che con l'explorer 5.5 sp2 eviti il contagio da web!

Bilancino · 22-09-2001, 23:46

Certamente è vero ma non tutti usano explorer, nella mia univerità si usa netscape. Inoltre non tutti fanno gli aggiornamenti nel modo opportuno........

Ciao

Pronius · 23-09-2001, 11:52

Io uso Zone Alarm come firwall, ma me lo sono beccato lo stesso il Nimda

Non ho ancora capito come, visto che sono un po' fanatico di protezione in internet e quindi pensavo che Black Ice Defender, Norton , Zone Alarm, AVPK avrebbero dovuto fermarlo o avvisarmi...

...invece niente, e non sono uno che legge il file in allegato... per me che sono appunto fissato della protezione in rete sono veleno puro, non li ho mai aperti se non controllando più volte.

Quindi non so... e andesso molti programmi non vanno più.

Credo che Bilancino abbia ragione: da quello che ho capito non entra con un HTML semplice ma attraverso dei buchi delle plug-in dell'Explorer... Java, Active X, o boh, dubito fortemente che possa entrare solo con con un semplice insieme di immagini e testi ha bisogno di un eseguibile che attivarsi nel load.exe di windows.

Ciaoz e tanta salute a tutti.

Bilancino · 23-09-2001, 14:44

mi preoccupano anche i plug-in di flash e similari.......io li ho rimossi e non li accetto fino a quando i servers sono a posto.......

Ciao

fabio&carl · 23-09-2001, 17:59

x Pronius
dimmi x favore, come ti sei accorto di averlo addosso? Mi sembra una brutta bestia, visto che ti infetta anche solo visitando un sito colpito!!! Ho letto le info di msb......ma ci sono un casino di patch e non ho capito molto.......come faccio a sapere se l'ho (venerdì un sito che visito abitualmente era stranabente lento, forse l'aveva)? E gli event rimedi?
Prego gli esperti di chiarirci Grazieeeeeeee

Bilancino · 23-09-2001, 18:07

Se hai il Nimda molti programmi non funzionano, inoltre è meglio come ho già detto di cancellare tutti i plug-in, disabilitare tramite il firewall gli activex e le applet java, perchè un virus per essere attivato deve essere eseguito e solo questi moduli possono far eseguire un programma. Fino a quando i server non si proteggono e meglio navigare così io fino ad ora non l'ho preso......

Ciao

Solero · 23-09-2001, 21:52

Per non prendere il Nimda basta avere Internet Explorer 5.5 agg. all'sp2

Pronius · 24-09-2001, 20:39

Quote:

Originariamente inviato da fabio&carl
[b]x Pronius
dimmi x favore, come ti sei accorto di averlo addosso?

Su win 98 o 98SE fai Start e poi Esegui

digita sulla finestrella "system.ini"

Ti si apre una finestra in blocco notes

sotto [boot] dovrebbe essere scritto, se non sei contaggiato, solo shell=Exlorer.exe

Se invece hai scritto "shell=Explore.exe - dontlrun" o una cosa del genere, allora sei infettato.

Comunque non fare nessuna operazone sul file "system.ini" mi raccomando, a meno che tu non sappia cosa stai facendo.

GreG · 25-09-2001, 00:32

qualcuno invece sa come si capisce se si è infettati sotto Win 2000?!?!?!

.....finora nel mio PC non ho riscontrato stranezze (...grat!...grat!...) ma ad un mio carissimo amico ho riscontrato i sintomi del Nimda....

GreG

Bilancino · 25-09-2001, 01:08

Di seguito sono elencate le modifiche fatte dal virus:
Sono della Symantec

System Modifications

When executed the worm determines from where it is being executed. The worm then overwrites Mmc.exe in the \Windows folder, or creates a copy of itself in the Windows Temporary folder.

The worm then infects executables, creates itself as .eml and .nws files, and copies itself as Riched20.dll in folders that contain .doc files on the local drive. The worm searches for files in the paths listed in the registry keys:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\App Paths

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\Shell Folders

The worm hooks the system by modifying the System.ini file as follows:

Shell = explorer.exe load.exe -dontrunold

It also replaces the file Riched20.dll. Riched20.dll is a legitimate Windows .dll file that is used by programs such as Microsoft Word. By replacing this file, the worm is executed each time programs such as Microsoft Word are executed.

The worm also registers itself as a service process or adds itself as a remote thread to the Explorer process. This allows the worm to continue to execute even when a user is not actively logged on.

The worm copies itself as the file:

%Windows\System%\load.exe

NOTE: %Windows\System% is a variable. The worm locates the \Windows\System folder (by default this is C:\Windows\System) and copies itself to that location

Next, the worm creates open network shares for all drives on the computer by modifying the registry key:

HKLM\Software\Microsoft\Windows\
CurrentVersion\Network\LanMan\[C$ -> Z$]

A reboot of the computer is required for these settings to take effect.

The worm searches for all open shares on the network by iterating through Network Neighborhood and by utilizing randomly generated IP addresses. All files on any open network shares are examined for possible infection. All .exe files are infected by the worm except Winzip32.exe.

Next, .eml and .nws files are copied to the open network shares and the worm copies itself over as Riched20.dll to any folder that contains .doc files.

The worm changes Explorer settings to not show hidden files and known file extensions.

The worm adds the user Guest under the groups Guests and Administrators. This gives the guest account Administrative privileges. In addition, the worm actively shares C$ = C:\ No reboot is required.

Il Tool per rimuovere il virus e altri conusciuti sono nel mio sito alla pagina download----->Antivirus

Ciao

GreG · 25-09-2001, 01:27

grazie davvero Bil!....l'ho già scaricato ieri sera.....

Billow · 26-09-2001, 14:34

http://www.wintricks.it/recensioni/nimda.html

dr650se · 26-09-2001, 19:52

questo bel giokino che con exploder 5.5 sp2 si evita, si fa lo stesso anke con exploder 6 o no? cmq io uso sempre opera e nimda nn so proprio ke sia... so invece chi era il re MIDa

ciao, illuminatemi!!!!

Mulder · 26-09-2001, 22:08

Me lo sono beccato ieri sera il nimda,il norton me lo ha segnalato e sinceramente ho lasciato fare a lui x eliminarlo,poi ho spento e non ci ho più pensato.Non ho ancora avuto modo di riaccendere il portatile dite che non ha risolto una mazza il norton?

Bilancino · 26-09-2001, 22:26

Dipende quale nimda hai preso perchè c'è l'allegato e-mail e c'è quello che prendi scaricando una pagina web. Se norton è aggiornato e l'anteprima dell' e-mail è disabilitatà (come la tengo io) dovresti essere salvo.

Ciao

Mulder · 26-09-2001, 22:44

Allegati non ne ho ricevuti,credo di averlo preso navigando non leggendo la posta(credo).
L'antivirus fortunatamente è aggiornato,ma come si disabilita l'anteprima della posta?

Solero · 26-09-2001, 23:33

Norton 2001 e 2002 scannano gli allegati prima di farli vedere in anteprima! quindi no problem!
Se poi avete anke ie aggiornato al 5.5 sp2 siete completamente al sicuro!!!!!!!!!!!!!!!!!!!

22-09-2001, 01:32	#1
Bilancino Senior Member Iscritto dal: Jun 2001 Città: Lazio Messaggi: 5935	Consiglio per bloccare il Nimda Ancora non ho capito le modalità di come si può attivare visitando un sito però posso presumere che venga attivato attraverso i controlli ActiveX oppure con i java Script quindi per evitare un possibile contagio si può provare ad configurare il firewall in modo molto restrittivo in modo di bloccare sia i Activex e i java script. Io fino ad ora non sono stato contagiato. Inoltre è meglio in outlook e similari disabilitare l'antremima dell'e-mail. Ciao __________________ HP Gaming 16 I7 10750H, nVidia GTX1650TI 4Gbyte DDR6, 16Gbyte di Ram, SSD INTEL 500Gbyte, Amplificatore Denon PMA-510AE, Diffusori Q Acoustics 3020i

22-09-2001, 10:28	#2
Solero Senior Member Iscritto dal: Apr 2000 Città: Faenza[RA] Messaggi: 1101	Basta avere IE 5.5 aggiornato all'sp2 __________________ I'm the push that makes you move

22-09-2001, 11:04	#3
Bilancino Senior Member Iscritto dal: Jun 2001 Città: Lazio Messaggi: 5935	Può essere una soluzione ma fidarsi di explorer.......un buon firewall forse è la scelta migliore. Ciao __________________ HP Gaming 16 I7 10750H, nVidia GTX1650TI 4Gbyte DDR6, 16Gbyte di Ram, SSD INTEL 500Gbyte, Amplificatore Denon PMA-510AE, Diffusori Q Acoustics 3020i

22-09-2001, 17:57	#4
Solero Senior Member Iscritto dal: Apr 2000 Città: Faenza[RA] Messaggi: 1101	Basta leggere su qualsiasi report sul virus nimda in cui c'è scritto che con l'explorer 5.5 sp2 eviti il contagio da web! __________________ I'm the push that makes you move

22-09-2001, 23:46	#5
Bilancino Senior Member Iscritto dal: Jun 2001 Città: Lazio Messaggi: 5935	Certamente è vero ma non tutti usano explorer, nella mia univerità si usa netscape. Inoltre non tutti fanno gli aggiornamenti nel modo opportuno........ Ciao __________________ HP Gaming 16 I7 10750H, nVidia GTX1650TI 4Gbyte DDR6, 16Gbyte di Ram, SSD INTEL 500Gbyte, Amplificatore Denon PMA-510AE, Diffusori Q Acoustics 3020i

23-09-2001, 11:52	#6
Pronius Junior Member Iscritto dal: Aug 2000 Messaggi: 6	Io uso Zone Alarm come firwall, ma me lo sono beccato lo stesso il Nimda Non ho ancora capito come, visto che sono un po' fanatico di protezione in internet e quindi pensavo che Black Ice Defender, Norton , Zone Alarm, AVPK avrebbero dovuto fermarlo o avvisarmi... ...invece niente, e non sono uno che legge il file in allegato... per me che sono appunto fissato della protezione in rete sono veleno puro, non li ho mai aperti se non controllando più volte. Quindi non so... e andesso molti programmi non vanno più. Credo che Bilancino abbia ragione: da quello che ho capito non entra con un HTML semplice ma attraverso dei buchi delle plug-in dell'Explorer... Java, Active X, o boh, dubito fortemente che possa entrare solo con con un semplice insieme di immagini e testi ha bisogno di un eseguibile che attivarsi nel load.exe di windows. Ciaoz e tanta salute a tutti.

23-09-2001, 14:44	#7
Bilancino Senior Member Iscritto dal: Jun 2001 Città: Lazio Messaggi: 5935	mi preoccupano anche i plug-in di flash e similari.......io li ho rimossi e non li accetto fino a quando i servers sono a posto....... Ciao __________________ HP Gaming 16 I7 10750H, nVidia GTX1650TI 4Gbyte DDR6, 16Gbyte di Ram, SSD INTEL 500Gbyte, Amplificatore Denon PMA-510AE, Diffusori Q Acoustics 3020i

23-09-2001, 17:59	#8
fabio&carl Member Iscritto dal: Feb 2001 Messaggi: 19	x Pronius dimmi x favore, come ti sei accorto di averlo addosso? Mi sembra una brutta bestia, visto che ti infetta anche solo visitando un sito colpito!!! Ho letto le info di msb......ma ci sono un casino di patch e non ho capito molto.......come faccio a sapere se l'ho (venerdì un sito che visito abitualmente era stranabente lento, forse l'aveva)? E gli event rimedi? Prego gli esperti di chiarirci Grazieeeeeeee __________________ buonvento

23-09-2001, 18:07	#9
Bilancino Senior Member Iscritto dal: Jun 2001 Città: Lazio Messaggi: 5935	Se hai il Nimda molti programmi non funzionano, inoltre è meglio come ho già detto di cancellare tutti i plug-in, disabilitare tramite il firewall gli activex e le applet java, perchè un virus per essere attivato deve essere eseguito e solo questi moduli possono far eseguire un programma. Fino a quando i server non si proteggono e meglio navigare così io fino ad ora non l'ho preso...... Ciao __________________ HP Gaming 16 I7 10750H, nVidia GTX1650TI 4Gbyte DDR6, 16Gbyte di Ram, SSD INTEL 500Gbyte, Amplificatore Denon PMA-510AE, Diffusori Q Acoustics 3020i

23-09-2001, 21:52	#10
Solero Senior Member Iscritto dal: Apr 2000 Città: Faenza[RA] Messaggi: 1101	Per non prendere il Nimda basta avere Internet Explorer 5.5 agg. all'sp2 __________________ I'm the push that makes you move

25-09-2001, 00:32	#12
GreG Senior Member Iscritto dal: Oct 1999 Messaggi: 606	qualcuno invece sa come si capisce se si è infettati sotto Win 2000?!?!?! .....finora nel mio PC non ho riscontrato stranezze (...grat!...grat!...) ma ad un mio carissimo amico ho riscontrato i sintomi del Nimda.... GreG __________________ "Il Sogno è l'infinita ombra del Vero" Giovanni Pascoli

25-09-2001, 01:08	#13
Bilancino Senior Member Iscritto dal: Jun 2001 Città: Lazio Messaggi: 5935	Di seguito sono elencate le modifiche fatte dal virus: Sono della Symantec System Modifications When executed the worm determines from where it is being executed. The worm then overwrites Mmc.exe in the \Windows folder, or creates a copy of itself in the Windows Temporary folder. The worm then infects executables, creates itself as .eml and .nws files, and copies itself as Riched20.dll in folders that contain .doc files on the local drive. The worm searches for files in the paths listed in the registry keys: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\App Paths HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Explorer\Shell Folders The worm hooks the system by modifying the System.ini file as follows: Shell = explorer.exe load.exe -dontrunold It also replaces the file Riched20.dll. Riched20.dll is a legitimate Windows .dll file that is used by programs such as Microsoft Word. By replacing this file, the worm is executed each time programs such as Microsoft Word are executed. The worm also registers itself as a service process or adds itself as a remote thread to the Explorer process. This allows the worm to continue to execute even when a user is not actively logged on. The worm copies itself as the file: %Windows\System%\load.exe NOTE: %Windows\System% is a variable. The worm locates the \Windows\System folder (by default this is C:\Windows\System) and copies itself to that location Next, the worm creates open network shares for all drives on the computer by modifying the registry key: HKLM\Software\Microsoft\Windows\ CurrentVersion\Network\LanMan\[C$ -> Z$] A reboot of the computer is required for these settings to take effect. The worm searches for all open shares on the network by iterating through Network Neighborhood and by utilizing randomly generated IP addresses. All files on any open network shares are examined for possible infection. All .exe files are infected by the worm except Winzip32.exe. Next, .eml and .nws files are copied to the open network shares and the worm copies itself over as Riched20.dll to any folder that contains .doc files. The worm changes Explorer settings to not show hidden files and known file extensions. The worm adds the user Guest under the groups Guests and Administrators. This gives the guest account Administrative privileges. In addition, the worm actively shares C$ = C:\ No reboot is required. Il Tool per rimuovere il virus e altri conusciuti sono nel mio sito alla pagina download----->Antivirus Ciao __________________ HP Gaming 16 I7 10750H, nVidia GTX1650TI 4Gbyte DDR6, 16Gbyte di Ram, SSD INTEL 500Gbyte, Amplificatore Denon PMA-510AE, Diffusori Q Acoustics 3020i

25-09-2001, 01:27	#14
GreG Senior Member Iscritto dal: Oct 1999 Messaggi: 606	grazie davvero Bil!....l'ho già scaricato ieri sera..... __________________ "Il Sogno è l'infinita ombra del Vero" Giovanni Pascoli

26-09-2001, 14:34	#15
Billow Senior Member Iscritto dal: Oct 1999 Città: Alma Mater Tergeste Messaggi: 86	http://www.wintricks.it/recensioni/nimda.html __________________ Tornare a sperare . - \| - . STOP Equitalia . - \| - . Curiosità e perchè

26-09-2001, 19:52	#16
dr650se Senior Member Iscritto dal: Oct 2000 Città: Ankon Messaggi: 664	questo bel giokino che con exploder 5.5 sp2 si evita, si fa lo stesso anke con exploder 6 o no? cmq io uso sempre opera e nimda nn so proprio ke sia... so invece chi era il re MIDa ciao, illuminatemi!!!! __________________ 4LL Y0UR B4SE 4RE BEL0NG T0 US

26-09-2001, 22:08	#17
Mulder Senior Member Iscritto dal: Jul 1999 Città: Milano Messaggi: 354	Me lo sono beccato ieri sera il nimda,il norton me lo ha segnalato e sinceramente ho lasciato fare a lui x eliminarlo,poi ho spento e non ci ho più pensato.Non ho ancora avuto modo di riaccendere il portatile dite che non ha risolto una mazza il norton?

26-09-2001, 22:26	#18
Bilancino Senior Member Iscritto dal: Jun 2001 Città: Lazio Messaggi: 5935	Dipende quale nimda hai preso perchè c'è l'allegato e-mail e c'è quello che prendi scaricando una pagina web. Se norton è aggiornato e l'anteprima dell' e-mail è disabilitatà (come la tengo io) dovresti essere salvo. Ciao __________________ HP Gaming 16 I7 10750H, nVidia GTX1650TI 4Gbyte DDR6, 16Gbyte di Ram, SSD INTEL 500Gbyte, Amplificatore Denon PMA-510AE, Diffusori Q Acoustics 3020i

26-09-2001, 22:44	#19
Mulder Senior Member Iscritto dal: Jul 1999 Città: Milano Messaggi: 354	Allegati non ne ho ricevuti,credo di averlo preso navigando non leggendo la posta(credo). L'antivirus fortunatamente è aggiornato,ma come si disabilita l'anteprima della posta?

26-09-2001, 23:33	#20
Solero Senior Member Iscritto dal: Apr 2000 Città: Faenza[RA] Messaggi: 1101	Norton 2001 e 2002 scannano gli allegati prima di farli vedere in anteprima! quindi no problem! Se poi avete anke ie aggiornato al 5.5 sp2 siete completamente al sicuro!!!!!!!!!!!!!!!!!!! __________________ I'm the push that makes you move

Strumenti
Mostra una versione stampabile Invia questa pagina per email