Win32.Minda.a@mm
 
Background
Reports of a rapidly-spreading, mass mailing, worm emerged earlier this
afternoon and indeed we have seen copies attempting to enter our
organisation.  Earliest discovery now appears to be exactly one week
(possibly to the minute) after the attack on the World Trade Centre.
 
Technical Details
The message comes with the following header
 
 Subject: sampledesktop
 
which may be repeated more than once.
 
 The message body is blank
 
And an attachment name of
 
Attachment: readme.exe
 
Primary spreading based on the user clicking the attachment, leads to mass
mailing. It also appears to spread automatically using a Cuartango type
mechanism on unpatched versions of Outlook Express.  Furthermore, it appears
to enumerate local network shares and may prove particularly troublesome to
eradicate once inside an organisation.
 
It also attacks vulnerable IIS 4 and 5 boxes, in a similar manner to Code
Red and is responsible for triggering many alarms.

pour les non anglophones
 
Virus
Nimda  
 
Nimda est un virus de mail qui se présente sous la forme d'un message dont le titre est aléatoire, dont le corps est vide, accompagné d'un fichier joint nommé généralement README.EXE (une extension .WAV et .COM est également possible).
 
Si ce fichier est exécuté, le virus s'auto-envoie aux correspondants présents dans la boîte de réception, grâce à son propre serveur SMTP. Sur un serveur web Microsoft IIS non patché contre la vulnérabilité "Unicode Web Traversal" (Microsoft Security Bulletin MS00-078), le Nimda modifie les pages en .HTM, .HTML et .ASP pour que les internautes qui visitent les sites hébergés sur ce serveur se voient proposer de télécharger un mail au format .EML (Outlook) contenant le virus en pièce jointe.  
 
Particulièrement virulent, Nimda se transmet par les dossiers partagés, tente de saturer les serveurs de mail, mais peut également scanner massivement le port 80 des serveurs web et provoquer ainsi ponctuellement des dénis de service. Les administrateurs concernés doivent donc de toute urgence appliquer le patch correctif si ça n'est pas déjà fait.
 
Le Microsoft Security Bulletin MS00-078 avec le patch correcteur pour serveur web Microsoft IIS

Précision complémentaire.
Seul Sophos et mcfee propose a ce jour une mise a jour permettant la désinfection (attention - pour mcafee celle de 20h hier ne fonctionne pas, retélécharger la 4160 ce matin)
les autres soit ne le connaisse pas encore, soit viennent juste de mettre l'alerte en ligne.
 
Ceux qui sont déjà infectés, pour les NT en NTFS, (et non équipés du dernier moteur), désinfecter depuis un poste est la solution la plus simple.
 
Le virus s'étant propagé bien avant la 1ere maj, ne faite pas confiance à la protection centralisée si vous en avez une.
 
Pour savoir si vous etes infectés, dir *.eml suffit.
 
Bon courage.

Putain je me suis fait baisé
j'arrive pas à réinstallé windows 2000 proprement au bout de 3 boot j'ai le virus
je sais pas d'ou il sortla j'ai juste installé un version trial de F-secure
et consulté 3 pages web : Hardware.fr
avp.ch
datafellows.com
 
J'ai pourtant toutes mes partoches
et gardé k'une seule pour installer l'os
est k'il peut encore etre dans ma bécane
ou alors je le choppe à chaque fois en allant sur le net?

 
chut le dites pas mais f secure c kk

Le seul antivirus ultime ? LINUX !
 
Mon humeur à moi quand je vois NIMDA ?