|
|
|
|
Strumenti |
22-09-2001, 00:32 | #1 |
Senior Member
Iscritto dal: Jun 2001
Città: Lazio
Messaggi: 5901
|
Consiglio per bloccare il Nimda
Ancora non ho capito le modalità di come si può attivare visitando un sito però posso presumere che venga attivato attraverso i controlli ActiveX oppure con i java Script quindi per evitare un possibile contagio si può provare ad configurare il firewall in modo molto restrittivo in modo di bloccare sia i Activex e i java script. Io fino ad ora non sono stato contagiato. Inoltre è meglio in outlook e similari disabilitare l'antremima dell'e-mail.
Ciao
__________________
HP Gaming 16 I7 10750H, nVidia GTX1650TI 4Gbyte DDR6, 16Gbyte di Ram, SSD INTEL 500Gbyte, Amplificatore Denon PMA-510AE, Diffusori Q Acoustics 3020i |
22-09-2001, 09:28 | #2 |
Senior Member
Iscritto dal: Apr 2000
Città: Faenza[RA]
Messaggi: 1101
|
Basta avere IE 5.5 aggiornato all'sp2
__________________
I'm the push that makes you move |
22-09-2001, 10:04 | #3 |
Senior Member
Iscritto dal: Jun 2001
Città: Lazio
Messaggi: 5901
|
Può essere una soluzione ma fidarsi di explorer.......un buon firewall forse è la scelta migliore.
Ciao
__________________
HP Gaming 16 I7 10750H, nVidia GTX1650TI 4Gbyte DDR6, 16Gbyte di Ram, SSD INTEL 500Gbyte, Amplificatore Denon PMA-510AE, Diffusori Q Acoustics 3020i |
22-09-2001, 16:57 | #4 |
Senior Member
Iscritto dal: Apr 2000
Città: Faenza[RA]
Messaggi: 1101
|
Basta leggere su qualsiasi report sul virus nimda in cui c'è scritto che con l'explorer 5.5 sp2 eviti il contagio da web!
__________________
I'm the push that makes you move |
22-09-2001, 22:46 | #5 |
Senior Member
Iscritto dal: Jun 2001
Città: Lazio
Messaggi: 5901
|
Certamente è vero ma non tutti usano explorer, nella mia univerità si usa netscape. Inoltre non tutti fanno gli aggiornamenti nel modo opportuno........
Ciao
__________________
HP Gaming 16 I7 10750H, nVidia GTX1650TI 4Gbyte DDR6, 16Gbyte di Ram, SSD INTEL 500Gbyte, Amplificatore Denon PMA-510AE, Diffusori Q Acoustics 3020i |
23-09-2001, 10:52 | #6 |
Junior Member
Iscritto dal: Aug 2000
Messaggi: 6
|
Io uso Zone Alarm come firwall, ma me lo sono beccato lo stesso il Nimda
Non ho ancora capito come, visto che sono un po' fanatico di protezione in internet e quindi pensavo che Black Ice Defender, Norton , Zone Alarm, AVPK avrebbero dovuto fermarlo o avvisarmi... ...invece niente, e non sono uno che legge il file in allegato... per me che sono appunto fissato della protezione in rete sono veleno puro, non li ho mai aperti se non controllando più volte. Quindi non so... e andesso molti programmi non vanno più. Credo che Bilancino abbia ragione: da quello che ho capito non entra con un HTML semplice ma attraverso dei buchi delle plug-in dell'Explorer... Java, Active X, o boh, dubito fortemente che possa entrare solo con con un semplice insieme di immagini e testi ha bisogno di un eseguibile che attivarsi nel load.exe di windows. Ciaoz e tanta salute a tutti. |
23-09-2001, 13:44 | #7 |
Senior Member
Iscritto dal: Jun 2001
Città: Lazio
Messaggi: 5901
|
mi preoccupano anche i plug-in di flash e similari.......io li ho rimossi e non li accetto fino a quando i servers sono a posto.......
Ciao
__________________
HP Gaming 16 I7 10750H, nVidia GTX1650TI 4Gbyte DDR6, 16Gbyte di Ram, SSD INTEL 500Gbyte, Amplificatore Denon PMA-510AE, Diffusori Q Acoustics 3020i |
23-09-2001, 16:59 | #8 |
Member
Iscritto dal: Feb 2001
Messaggi: 19
|
x Pronius
dimmi x favore, come ti sei accorto di averlo addosso? Mi sembra una brutta bestia, visto che ti infetta anche solo visitando un sito colpito!!! Ho letto le info di msb......ma ci sono un casino di patch e non ho capito molto.......come faccio a sapere se l'ho (venerdì un sito che visito abitualmente era stranabente lento, forse l'aveva)? E gli event rimedi? Prego gli esperti di chiarirci Grazieeeeeeee
__________________
buonvento |
23-09-2001, 17:07 | #9 |
Senior Member
Iscritto dal: Jun 2001
Città: Lazio
Messaggi: 5901
|
Se hai il Nimda molti programmi non funzionano, inoltre è meglio come ho già detto di cancellare tutti i plug-in, disabilitare tramite il firewall gli activex e le applet java, perchè un virus per essere attivato deve essere eseguito e solo questi moduli possono far eseguire un programma. Fino a quando i server non si proteggono e meglio navigare così io fino ad ora non l'ho preso......
Ciao
__________________
HP Gaming 16 I7 10750H, nVidia GTX1650TI 4Gbyte DDR6, 16Gbyte di Ram, SSD INTEL 500Gbyte, Amplificatore Denon PMA-510AE, Diffusori Q Acoustics 3020i |
23-09-2001, 20:52 | #10 |
Senior Member
Iscritto dal: Apr 2000
Città: Faenza[RA]
Messaggi: 1101
|
Per non prendere il Nimda basta avere Internet Explorer 5.5 agg. all'sp2
__________________
I'm the push that makes you move |
24-09-2001, 19:39 | #11 | |
Junior Member
Iscritto dal: Aug 2000
Messaggi: 6
|
Quote:
digita sulla finestrella "system.ini" Ti si apre una finestra in blocco notes sotto [boot] dovrebbe essere scritto, se non sei contaggiato, solo shell=Exlorer.exe Se invece hai scritto "shell=Explore.exe - dontlrun" o una cosa del genere, allora sei infettato. Comunque non fare nessuna operazone sul file "system.ini" mi raccomando, a meno che tu non sappia cosa stai facendo. |
|
24-09-2001, 23:32 | #12 |
Senior Member
Iscritto dal: Oct 1999
Messaggi: 606
|
qualcuno invece sa come si capisce se si è infettati sotto Win 2000?!?!?!
.....finora nel mio PC non ho riscontrato stranezze (...grat!...grat!...) ma ad un mio carissimo amico ho riscontrato i sintomi del Nimda.... GreG
__________________
"Il Sogno è l'infinita ombra del Vero" Giovanni Pascoli |
25-09-2001, 00:08 | #13 |
Senior Member
Iscritto dal: Jun 2001
Città: Lazio
Messaggi: 5901
|
Di seguito sono elencate le modifiche fatte dal virus:
Sono della Symantec System Modifications When executed the worm determines from where it is being executed. The worm then overwrites Mmc.exe in the \Windows folder, or creates a copy of itself in the Windows Temporary folder. The worm then infects executables, creates itself as .eml and .nws files, and copies itself as Riched20.dll in folders that contain .doc files on the local drive. The worm searches for files in the paths listed in the registry keys: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\App Paths HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Explorer\Shell Folders The worm hooks the system by modifying the System.ini file as follows: Shell = explorer.exe load.exe -dontrunold It also replaces the file Riched20.dll. Riched20.dll is a legitimate Windows .dll file that is used by programs such as Microsoft Word. By replacing this file, the worm is executed each time programs such as Microsoft Word are executed. The worm also registers itself as a service process or adds itself as a remote thread to the Explorer process. This allows the worm to continue to execute even when a user is not actively logged on. The worm copies itself as the file: %Windows\System%\load.exe NOTE: %Windows\System% is a variable. The worm locates the \Windows\System folder (by default this is C:\Windows\System) and copies itself to that location Next, the worm creates open network shares for all drives on the computer by modifying the registry key: HKLM\Software\Microsoft\Windows\ CurrentVersion\Network\LanMan\[C$ -> Z$] A reboot of the computer is required for these settings to take effect. The worm searches for all open shares on the network by iterating through Network Neighborhood and by utilizing randomly generated IP addresses. All files on any open network shares are examined for possible infection. All .exe files are infected by the worm except Winzip32.exe. Next, .eml and .nws files are copied to the open network shares and the worm copies itself over as Riched20.dll to any folder that contains .doc files. The worm changes Explorer settings to not show hidden files and known file extensions. The worm adds the user Guest under the groups Guests and Administrators. This gives the guest account Administrative privileges. In addition, the worm actively shares C$ = C:\ No reboot is required. Il Tool per rimuovere il virus e altri conusciuti sono nel mio sito alla pagina download----->Antivirus Ciao
__________________
HP Gaming 16 I7 10750H, nVidia GTX1650TI 4Gbyte DDR6, 16Gbyte di Ram, SSD INTEL 500Gbyte, Amplificatore Denon PMA-510AE, Diffusori Q Acoustics 3020i |
25-09-2001, 00:27 | #14 |
Senior Member
Iscritto dal: Oct 1999
Messaggi: 606
|
grazie davvero Bil!....l'ho già scaricato ieri sera.....
__________________
"Il Sogno è l'infinita ombra del Vero" Giovanni Pascoli |
26-09-2001, 13:34 | #15 |
Senior Member
Iscritto dal: Oct 1999
Città: Alma Mater Tergeste
Messaggi: 86
|
|
26-09-2001, 18:52 | #16 |
Senior Member
Iscritto dal: Oct 2000
Città: Ankon
Messaggi: 662
|
questo bel giokino che con exploder 5.5 sp2 si evita, si fa lo stesso anke con exploder 6 o no? cmq io uso sempre opera e nimda nn so proprio ke sia... so invece chi era il re MIDa
ciao, illuminatemi!!!!
__________________
4LL Y0UR B4SE 4RE BEL0NG T0 US |
26-09-2001, 21:08 | #17 |
Senior Member
Iscritto dal: Jul 1999
Città: Milano
Messaggi: 354
|
Me lo sono beccato ieri sera il nimda,il norton me lo ha segnalato e sinceramente ho lasciato fare a lui x eliminarlo,poi ho spento e non ci ho più pensato.Non ho ancora avuto modo di riaccendere il portatile dite che non ha risolto una mazza il norton?
|
26-09-2001, 21:26 | #18 |
Senior Member
Iscritto dal: Jun 2001
Città: Lazio
Messaggi: 5901
|
Dipende quale nimda hai preso perchè c'è l'allegato e-mail e c'è quello che prendi scaricando una pagina web. Se norton è aggiornato e l'anteprima dell' e-mail è disabilitatà (come la tengo io) dovresti essere salvo.
Ciao
__________________
HP Gaming 16 I7 10750H, nVidia GTX1650TI 4Gbyte DDR6, 16Gbyte di Ram, SSD INTEL 500Gbyte, Amplificatore Denon PMA-510AE, Diffusori Q Acoustics 3020i |
26-09-2001, 21:44 | #19 |
Senior Member
Iscritto dal: Jul 1999
Città: Milano
Messaggi: 354
|
Allegati non ne ho ricevuti,credo di averlo preso navigando non leggendo la posta(credo).
L'antivirus fortunatamente è aggiornato,ma come si disabilita l'anteprima della posta? |
26-09-2001, 22:33 | #20 |
Senior Member
Iscritto dal: Apr 2000
Città: Faenza[RA]
Messaggi: 1101
|
Norton 2001 e 2002 scannano gli allegati prima di farli vedere in anteprima! quindi no problem!
Se poi avete anke ie aggiornato al 5.5 sp2 siete completamente al sicuro!!!!!!!!!!!!!!!!!!!
__________________
I'm the push that makes you move |
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 04:37.