w32.nimda.enc, d'où vient-il ? - Windows & Software
Marsh Posté le 11-03-2002 à 11:07:18
In some cases, Norton AntiVirus detects a threat and adds the extension ".enc" to the name of the detection. For example, if a computer has received email infected with W32.Nimda.A@mm, you may also see a detection for W32.Nimda.enc.
The .enc detection is actually a detection of header information or encoded script which can be contained in an email message. The detection of an encoded script is the result of the script using a vulnerability that affects some versions of Microsoft Internet Explorer, and therefore Microsoft Outlook and Outlook Express. This vulnerability, if not patched with a Microsoft program update, allows a virus, worm, or Trojan to be executed just by reading or previewing the email message. Information on this problem, which is known as a MIME header exploit, can be found at:
http://www.microsoft.com/technet/s [...] 01-020.asp
Marsh Posté le 11-03-2002 à 11:11:04
MErci à Elca pour le lien en PRV : http://securityresponse.symantec.c [...] 27561.html
Wild, bah merde
Red, je v voir, merci
Marsh Posté le 11-03-2002 à 11:12:38
il faut que tu effaces l'email infecte, car meme si tu effaces la piece jointe infecte, a chaque fois que tu selectionneras ce message, NAV te dira qu'il est encore infecte (il se base sur le header du mail)
pour effacer,
1) desactiver la previsualisaion auto du mail
2) supprimer le mail (definitivement , pas juste le mettre ds les elements effaces)
Marsh Posté le 11-03-2002 à 11:15:10
Pour Nimda, une fois que l'utilisateur reçoit le message il se trouve infecté, le virus se copie lui-même dans le dossier WinntSystem32 avec comme nom : LOAD.EXE.
il modifie le fichier SYSTEM.INI en ajoutant : shell=explorer.exe load.exe -dontrunold.
Ensuite, il copie un fichier riched20.dll dans le répertoire System (fichier caché). Ceci permet au virus de se lancer à chaque fois qu'une application utilisant cette DLL (comme par exemple Wordpad) est exécutée.
Ensuite, il crée un utilisateur appelé guest puis l'inclut dans le groupe des administrateurs locaux.
Après quoi, il se connecte en tant que l'utilisateur défini ci-dessus et partage le volume C: comme C$.
Si le FIX n'a rien trouvé, il y a des chances que le PC ne soit pas vérolé. Pour le savoir fait une recherche sur riched20.dll à la limite Extrait la (MSCONFIG sous XP) et à la limite tu peux reinstaller Office... Mais c'est vraiment par sécurité...
Marsh Posté le 11-03-2002 à 11:16:53
Mon boss (c sur sa machine) n'utilise jamais la prévisualisation, et nous n'avons (il) a pas reçu de mail
Norton nous a donné à plusieurs reprises des alertes sur des fichiers *.EML sur le C:, introuvable via la recherche (utilisation du même nom de fichier, affichage des fichiers cachés, systèmes, etc.. d'activé)
Marsh Posté le 11-03-2002 à 11:18:55
ReplyMarsh Posté le 11-03-2002 à 11:20:24
si effecivement, mail vérolé il y a, je veux savoir qui nous l'envoie.
Nous n'avons rien dans la boite de réception.
Comment un mail, sans la prévisualisation d'activé, peut se lancer ? J4ai pas suivi ??
Et c'est forcément par mail pour celui là ?
Marsh Posté le 11-03-2002 à 11:20:39
Dans ce cas, il ne doit pas être vérolé enfin du moins par Nimda...
Si Otulook tournait et qu'il y à eu une alerte, il est possible qu'il est recu un mail automatiquement supprimé par Norton et d'ou le message d'alerte enfin je dis ca mais c'est fort possible...
Marsh Posté le 11-03-2002 à 11:22:29
non non, les alrtes ROUGES de norton indiquait des fichiers EML copiés dans C:\Documents and Settings\All Users\..
donc il y a bien eu une action active
Marsh Posté le 11-03-2002 à 11:24:28
Groody a écrit a écrit : si effecivement, mail vérolé il y a, je veux savoir qui nous l'envoie. Nous n'avons rien dans la boite de réception. Comment un mail, sans la prévisualisation d'activé, peut se lancer ? J4ai pas suivi ?? Et c'est forcément par mail pour celui là ? |
Si tu veux savoir qui te l'envoies, mais a mon avis l'utilisateur sera "caché", tu sélectionnes le message clic droit propriétés / détails et source du message tu auras l'IP, le nom de l'utilisateur, le nom de son PC etc... etc... mais généralement ce sont des envoies groupés avec un utilisateur bidon et bien caché...
Je crois aussi que Nimda s'envoie de façons aléatoire avec le carnet d'adresse d'un PC vérolé en gros une personne à pu l'envoyer sans le savoir...
Marsh Posté le 11-03-2002 à 11:27:01
j'avais pensé à aller voir l'en tête du mail, mais aucun mail n'est en attente, peut etre bloqué par NAV, mais si je désactivé NAV, j'ai peur que la machine soit réellement vérolé, pour de bon.
Pour l'en tête, on verra ptet une IP interne.
JE ne comprends tjs pas comment ces fichiers ont été copiés sur la machine sans mail d'ouvert ni de surf
Marsh Posté le 11-03-2002 à 11:32:31
le serveur de messagerie n'est pas chez nous, je n'ai pas la main dessus, et aucun anti virus ne tourne dessus. INCROYABLE oui je sais, mais je fais tout pour changer ça et le prendre en interne ..
[jfdsdjhfuetppo]--Message édité par Groody--[/jfdsdjhfuetppo]
Marsh Posté le 11-03-2002 à 11:34:31
NAV a fait apparement des faux positifs avec cette version de nimda, mais avec des signatures plus vieilles que celle que tu as...peut être que le problème n'a pas été vraiment réglé ?
Je creuses ...
Marsh Posté le 11-03-2002 à 11:35:44
Groody a écrit a écrit : j'avais pensé à aller voir l'en tête du mail, mais aucun mail n'est en attente, peut etre bloqué par NAV, mais si je désactivé NAV, j'ai peur que la machine soit réellement vérolé, pour de bon. Pour l'en tête, on verra ptet une IP interne. JE ne comprends tjs pas comment ces fichiers ont été copiés sur la machine sans mail d'ouvert ni de surf |
Bah qui sait c'est peut être un cas "J'ai rien fait rien touché"
Généralement quand y'a un "problème" sur un PC l'utilisateur n'a jamais rien fait... finalement tu te rends compte qu'il à bien reçu un mail, qu'il l'a bien ouvert etc...
Enfin bon peut être que Norton l'a bloqué direct à la réception ou un truc du genre...
Marsh Posté le 11-03-2002 à 11:35:59
B-52, ouai j'ai lu ça, à la suite d'un lien donné par Elca : http://www.cisco.com/warp/public/770/fn16592.shtml
Marsh Posté le 11-03-2002 à 11:37:30
THX a écrit a écrit : Bah qui sait c'est peut être un cas "J'ai rien fait rien touché" Généralement quand y'a un "problème" sur un PC l'utilisateur n'a jamais rien fait... finalement tu te rends compte qu'il à bien reçu un mail, qu'il l'a bien ouvert etc... Enfin bon peut être que Norton l'a bloqué direct à la réception ou un truc du genre... |
Ouai, je connais, mais c mon chef, à l'info, donc ça m'etonnerai qu'il me dise des conneries
Marsh Posté le 11-03-2002 à 11:52:04
Alors, je viens de chercher sur le post :
- RICHED20DLL, il en trouve 3, 2 de ~400Ko dans I386 et dans c:\windows\system32 (même taille, date pour les deux) et un de 212 Ko dans le rep OFFICE10
- Pas de LOAD.EXE
- Pas de mail das Outlook
J'ai débranché le cable réseau, je n'ai PLUS la moindre alerte de Norton ??
Marsh Posté le 11-03-2002 à 11:53:29
http://itim.tamu.edu/Security/nimda.html
Marsh Posté le 11-03-2002 à 12:04:29
Nimda infecte aussi les mac ?
edit: forcément c outlook aussi, chuis con
[jfdsdjhfuetppo]--Message édité par elcatalan--[/jfdsdjhfuetppo]
Marsh Posté le 11-03-2002 à 12:11:27
bon, j'ai relancé Outlook avec le cable branché, F5, arrivé d'un mail, pas la moindre alerte.
J'ai l'impression que ce n'est pas un mail qui fout la merde là
EDIT : si ça vient d'une machine qui est actuellement débranchée, je suis mal barré
[jfdsdjhfuetppo]--Message édité par Groody--[/jfdsdjhfuetppo]
Marsh Posté le 11-03-2002 à 12:29:47
Attention ce sont des virus qui peuve ce propagé part le partage des fichiés
Marsh Posté le 11-03-2002 à 12:36:06
ouai, j'ai lu, mes comment exactement ?
ils vont se copier à un endroit, et il faut qu'un couillon aille cliquer dessus ?
Marsh Posté le 11-03-2002 à 12:52:06
va voir ici plus ,bas vers nimda
http://aspirine.altasecu.com/contr [...] #BadtransB
Marsh Posté le 11-03-2002 à 12:58:24
Groody a écrit a écrit : bon, j'ai relancé Outlook avec le cable branché, F5, arrivé d'un mail, pas la moindre alerte. J'ai l'impression que ce n'est pas un mail qui fout la merde là EDIT : si ça vient d'une machine qui est actuellement débranchée, je suis mal barré |
T'a pas moyen de tester ca:
Tu branche ton xp avecc norton actif sur un hub/switch et tu teste un par un les postes debranches ?
Marsh Posté le 11-03-2002 à 12:59:37
on est en train de faire tourner FIXNIMDA.COM sur tous les serveurs et toutees les machines.
Marsh Posté le 11-03-2002 à 13:19:52
Mon chef ouai, il n'y avait que des reste de AHAHAH Blanche neige.. (je ne me rappelle plus du nom du worm).
Aucune machine n'est pour l'instant détectée comme vérolée.
J'ai interet à trouver d'où ça venait car là ça m'inquiette
Marsh Posté le 11-03-2002 à 13:35:33
parano
Marsh Posté le 11-03-2002 à 14:17:17
c quand même une des qualité qu'il faut avoir dans ce job
Marsh Posté le 11-03-2002 à 14:23:12
keep cool and don't be aware
http://home.urbanet.ch/urba0950/beaware/
Marsh Posté le 11-03-2002 à 14:31:59
ReplyMarsh Posté le 11-03-2002 à 14:44:49
Je croyais que Nimda se propageait principalement par les requetes Web vers les serveurs qui ne sont pas patchés. Je n'ai jamais vu de Nimda envoyé par mail. Tu as verifié tes serveurs?
Marsh Posté le 11-03-2002 à 14:53:02
serveur quoi ?
Je viens de passer fixnimda sur toutes les machines locales, et les 14 serveurs (13, pas celui sous Nux pardon ), et rien
Marsh Posté le 11-03-2002 à 14:54:24
si tu parles du serveur mail, j'ai répondu plus haut qu'il ne nous appartient pas, et que je ne peux pas y intervenir.
Marsh Posté le 11-03-2002 à 14:54:38
nimda se propage avec les servers 2IS il me semble, si t'es machines clientes sont des 2000, regarde si elles n'ont pas 2IS qui tourne.
[jfdsdjhfuetppo]--Message édité par costla--[/jfdsdjhfuetppo]
Marsh Posté le 11-03-2002 à 14:55:01
Il faut verifier les serveurs Web si tu en as, et non avec un antivirus, mais verifier les niveaux de patch.
Marsh Posté le 11-03-2002 à 14:56:57
pour verifier les dernieres MAJ pour 2IS, un outil fais pas SupInfo:
http://microsoft.supinfo.com/iisecure/
ca verifie les dernieres MAJ dispo chez Crosoft et compare avec ton server.
Marsh Posté le 11-03-2002 à 15:01:53
génial, merci
Mon IIS n'a pas l'air atteint, mais je v voir ça, puis patché, car ça n'a jamais été fait.
98 % de mes postes sont des 98, et ils peuvent être aussi atteint
Marsh Posté le 11-03-2002 à 11:04:15
Salut,
Alors pour commencer j'ai fais une recherche et lu la plupart des posts trouvés ( http://forum.hardware.fr/forum1.ph [...] aterange=2 )
J'ai aussi lu les infos de propag sur http://www.commentcamarche.com/virus/nimda.php3
J'ai actuellement 14 serveurs de débranchés, mais les 160 machines qui tournent encore (quasi impossible de les arretter (plusieurs sites)).
LE prb, l'un de nos postes clients au service info (logué en Admin) vient de recevoir plusieurs alertes de Norton dernière version, mis à jour vendredi dernier. Alertes sur des fichiers *.EML (lié à Nimda, j'ai bien lu). On fait une recherche sur ce type de fichiers, et on ne trouve rien.
L'utilisateur de cette machine ne surfait pas, et avait juste Outlook qui tournait (Outlook XP, sous Win XP).
J'ai lancé sur la machine http://www.commentcamarche.com/download/Fixnimda.com et rien n'a été trouvé.
Je suis un perdu là. Je ne vois pas comment y'aurai pu avoir tentatives de copies de fichiers sur le HD, dans "C:\doc and setting, etc..."
Je ne vois pas où chercher.
Autre chose, il y a différentes version de Nimda, quelqu'un a des infos sur w32.nimda.enc ?
Si quelqu'un à un lien pour la mise à jour à appliquer sur IIS 4 sur un NT4 SP6a, je suis preneur
Merci
[jfdsdjhfuetppo]--Message édité par Groody--[/jfdsdjhfuetppo]
---------------
Vidéo Concorde Air France | www.kiva.org