Nieuwe IIS/Mail worm 'Nimda' slaat toe

Wormwaarschuwing Een nieuwe worm, Nimda, die in twee gedaanten rondwaart, en het naast het verspreiden via email het speciaal op de Microsoft webserver IIS heeft gemunt, is op dit moment bezig een groot aantal computers te bestoken. De worm maakt bij het 'proben' van computers die verbonden zijn met het Internet niet alleen gebruik van het lek waar Code Red en z'n broertjes gretig gebruik van maakten, maar van het bijna voltallige scala aan bekende (en allang van een patch voorziene) 'exploits' voor IIS 4.0 en IIS 5.0.

Mede omdat deze worm niet slechts één maar meerdere bugs in IIS, verschillende ISAPI dll's en examples gebruikt, is 'W32.Nimda.A@mm', zoals de worm officieel heet, veel aggressiever dan bijvoorbeeld Code Red. Extra vervelend is het feit dat de worm, wanneer het een server infecteert, aan elke pagina op de webserver de file 'readme.eml' koppelt, welk wordt gestuurd naar de browser wanneer deze de betreffende pagina opvraagt. Door een oude bug in o.a. IE5.0 wordt deze email geopend, wat neerkomt op het executeren van het script wat in de email is opgenomen. Dit script is dan ook een van de verspreidingstactieken van de worm: naast het verspreiden via IIS webservers middels bekende exploits, verspreid het zich ook als email met attachment genaamd 'readme.exe': (Symantec)

W32.Nimda.A@mm is a new mass-mailing worm that utilizes email to propagate itself. The threat arrives as a file named readme.exe in an email.

In addition, the worm sends out probes to Microsoft IIS servers attempting to spread itself by using the Unicode Web Traversal exploit similar to W32.BlueCode.Worm. Compromised servers may display a webpage prompting a visitor to download an Outlook file which contains the worm as an attachment.

Also, the worm will create an open network share allowing access to the system. The worm will also attempt to spread via open network shares.

De worm gebruikt bekende 'exploits' waar al sinds lange tijd patches voor bestaan. Voor degene die niet zeker zijn van hun zaak en de laatste patches willen downloaden: Microsoft TechNet. Zie ook de Security topics op de TechNet site.

Voor meer informatie over de worm, lees verder op Newsbytes, NTBugtraq: hier en hier, TruSecure en Slashdot

Iedereen die dit ook meldde via de Newssubmit: bedankt!

IT-banen

Reacties (93)

ed-win 18 september 2001 21:08

Misschien een vraag die niet helemaal hier thuis hoort, maar waarom worden al deze patches door Microsoft niet aangeboden via 'Windows Update'? Is veel makkelijker zoeken, en de kans dat meer mensen deze patches dan installeren is veel groter.

Dat zou de kans op dergelijke virusaanvallen zeker verminderen!

Verwijderd @ed-win • 18 september 2001 21:38

Dit is natuurlijk een slechte zaak, het zou een hoop ellende schelen denk ik. Gelukkig ziet M$ dit ook in en gaan ze binnenkort alle critical patches en updates via WindowsUpdate aanbieden

raptorix @ed-win • 20 september 2001 01:47

Wordt ook gedaan, als je via windows update op de ms site komt geeft ie keurig aan wat critical updates zijn en recommended updates.

CasGas 18 september 2001 21:04

dat sommige admins die patches nog steeds niet hebben geupdate, je zou zo'n admin maar in je bedrijf hebben, ben je lekker klaar mee

heraut @CasGas • 18 september 2001 21:28

ehm... wij hebben al bij 4 NT4.0 servers gehad dat ze eindigden in een non recoverable crashdump na installatie -en reboot- van de critical updates...

Niet zo leuk dacht ik zo, zeker op productieservers met 1000 users

Er schijnen problemen te met de critical updates van microsoft en bepaalde bios versies van compaq proliants 800, 1200 en 3000 machines.

Tommel @heraut • 19 september 2001 08:39

Nog nooit van een "testomgeving gehoord" ?
Daar probeer je toch eerst alle patches/fixes uit voordat het in een productieomgeving wordt toegepast ?

mOrPhie @Tommel • 19 september 2001 10:36

Je kunt van te voren niet ruiken op welke bios-versies een patch wel effectief is en op welke niet.

Tuurlijk moet je een test omgeving gebruiken, helemaal mee eens. Maar als jij het op een simpel desktopje met w2000 server test en het werkt en het daarna installeerd op de werkelijke server en het blijkt dan niet te werken, dan heeft een testomgeving ook geen zin!

Verwijderd @Tommel • 19 september 2001 10:54

En jij hebt een testomgeving die exact identiek is aan je productie omgeving?

Ergo: ik heb hier 10 verschillende types servers staan, dus dan heb ik ook 10 testservers nodig? Mijn baas ziet me aankomen

jp @Tommel • 20 september 2001 02:21

Je kan ook proberen voor mekaar te krijgen om als je een computer upgraded, dat je budget krijgt om je hele serverpark te vernieuwen...

Dan heb je maar 1 testomgeving nodig.

Blijft er ook meer over dat in de categorie "leuk voor thuis" past

[was bedoeld als reactie op slashdot]

fallen_angel @heraut • 19 september 2001 11:21

Inderdaad
Sercurity Fix of niet, ik wil het eerst op mijn testomgeving loslaten voordat ik het installeer in de productie omgeving.
En met veel software (niet alleen MS) zijn er dus ook vaak veel updates. Die vaak cumulatief geïnstalleerd worden in het week-end.
Hier gaat dus wat planning aan vooraf.

Wat desktops betreft. Die zijn redelijk goed beveiligd met antivirussoftware die zichzelf 2 keer per dag update.
Ik vertrouw meer op antivirussoftware in dit geval dan op Fixes van MS.

Aaargh! @heraut • 18 september 2001 23:31

Niet zo leuk dacht ik zo, zeker op productieservers met 1000 users

dit zal wel omlaag gemod worden als een troll, maar imho ben je niet erg handig bezig als je een mission-critical applicatie toevertrouwd aan MS software.

Jeroen 98675432 @Aaargh! • 19 september 2001 08:27

Tsja, er zijn nou eenmaal bedrijven (zoals waar ik werk) waar door moederbedrijven verplichtingen worden opgelegd, zoals uitsluitend gebruik van Microsoft besturingssystemen. Iets anders is niet toegestaan.
Ik had het zelf ook graag anders gezien, maarja, om om dit soort redenen ander werk te zoeken gaat ook wat ver....

raptorix @Aaargh! • 20 september 2001 01:43

Als je toch niets zinvols te melden heb ga dan lekker ergens anders de boel verzieken, waarom zou je geen mission critical applications op windows 2000 kunnen bouwen?

LuCarD @CasGas • 18 september 2001 21:30

Helaas zijn er veel Thuisgebruikers die een IIS hebben draaien zonder deze goed up-to-date te houden......

Persoonlijk pleit ik er dan ook voor om strengere controlles te houden van de ISP's. Om hun klanten te beveiligen en adviseren. Dat kan bv heel simpel door een scanner los te laten binnen je eigen netwerk en dan allemensen, te waarsschuwen per brief, email. Met natuurlijk een lichte dwang om de server te updaten.

Roland684

Bedrijfsnieuws

@LuCarD • 19 september 2001 00:38

Dus jij wil gaan bepalen welke software ik draai?

Aaargh! @Roland684 • 19 september 2001 02:02

Dus jij wil gaan bepalen welke software ik draai?

Als jij overlast voor andere gebruikers veroorzaakt dan vind ik dat je ISP je mag afsluiten tot je je software up-to-date hebt.

Gman @Roland684 • 19 september 2001 10:40

Gepost door Aaargh! Woensdag 19 September 2001 - 02:02
Als jij overlast voor andere gebruikers veroorzaakt dan vind ik dat je ISP je mag afsluiten tot je je software up-to-date hebt.

Updaten zonder internet

Verwijderd @Roland684 • 19 september 2001 09:57

Wat dacht je van MS afsluiten totdat zij wat degelijke software op de markt kunnen brengen =P

edit:

reactie op Aaargh! dus

Verwijderd @Roland684 • 19 september 2001 10:01

Nee, we willen niet bepalen welke software je draait. Wat we wel willen is dat je je computer goed beheerd en zo niet het netwerk onnodig belast. Oftewel een eis dat je geen services draait met bekende exploits vind ik niet meer dan logisch.

Enne, de meeste ISP laten servers niet toe hoor.

Dope-E @LuCarD • 19 september 2001 09:13

Het is in de eerste plaats voor particulieren zover ik weet (bijna) bij geeneen ISP toegestaan om thuis een webserver op te zetten. Dat wil natuurlijk niet zeggen dat niemand dat doet, maar het mag in feite al niet eens.

Verwijderd @Dope-E • 19 september 2001 11:36

Het is in de eerste plaats voor particulieren zover ik weet (bijna) bij geeneen ISP toegestaan om thuis een webserver op te zetten.

Ja hoor, vrij veel breedband aanbieders hebben de afgelopen maanden hun regels wat aangepast. Is dus voor velen al volledig legaal om zelf thuis een webserver te laten draaien.

Verwijderd @CasGas • 18 september 2001 21:20

..helemaal wanneer je bedenkt dat Mickey$oft alle fixes van de laatste tijd nog eens gebundeld had, zodat de luie systeembezweerder maar 1 fix hoefde te installeren...

Beaves 18 september 2001 21:06

Kortom, als je een IIS server hebt die van de laaste update's en fixes is voorzien kan de worm niets, maar aangezien er heel veel zogenaamde "wannabee" sys admins" Windows servers beheren zal er wel weer het nodige gebeuren voordat we deze worm weer als verleden tijd mogen beschouwen.

Het enige goede aan deze worm is dat uiteindelijk alle IIS servers geupgrade & gepatched zullen worden als blijkt dat de server nog leaks en exploits heeft, want ik denk dat er nog heel veel servers zijn die nog nooit een update of een fix gezien hebben.

Verwijderd @Beaves • 18 september 2001 21:14

kom op nou zeg, 99% van de aanvallen komt af van particuliere webservers, dus van simpele domme gebruikers die -vaak per ongeluk- iis hebben draaien en zich daar uberhaupt nie van bewust zijn...

maar goed, de ene procent die het idd 'professioneel' beheert mag wat mij betreft terug naar de kleuterschool....

Verwijderd @Verwijderd • 18 september 2001 21:54

Het aantal procent aanvallen thuisgebruikers zal ook wel meevallen, de meeste thuisgebruikers gebruiken namelijk windows 98 of ME, hier zit geen IIS op dus dan heb je hier ook geen last van.

Ik heb gelukkig geen windows 98, stel je voor al die blauwe schermen

blaatenator @Verwijderd • 18 september 2001 22:36

daar gaan we weer: "blablabla.. ik heb linux mandrake install wizard met suc6 voltooid, en geen blauw scherm meer..etc"

maar, veel mensen zijn van w98 overgestapt op w2k. Nu installeert die ook niet standaard IIS, maar aangezien veel mensen de aangepaste setup runnen, en alles aanvinken, zullen er vast wel een groot aantal lui IIS hebben draaien. Helaas is de functie van windows update (waar dat complete pakket voor de verandering eens wel bijzat) waarschijnlijk nog grotendeels onontdekt.

Verwijderd @Verwijderd • 19 september 2001 06:29

Nou de praktijk is wel andrs hoor. De meeste aanvallen van Code red en nu deze worm komen vanaf ADSL gebruikers. Meestal thuis en SOHO computers.

Verwijderd @Verwijderd • 19 september 2001 11:11

En .. het hoeft op zich nog niet eens zijn dat iemand IIS bewust aangevinkt heeft. Win2K-prof installeert PWS wat gewoon IIS is maar dan zonder MMC .. dus zonder dat je het weet heb je toch IIS. Patchen die handel is!
Wat ook vaak vergeten wordt zijn al die leptoppies binnen bedrijven van buitenlui/thuiswerkers die met Win2K-prof geinstalleerd worden maar vanwege afwezigheid vaak niet tijdig gepatched worden.

Verwijderd 19 september 2001 11:35

Ik draai zelf win2000 en heb bij installeren ervan niet die IIS laten installeren. Maar bij toeval ben ik tegen deze map aangelopen:

c:\Program Files\Common Files\Microsoft Shared\web server extensions\40

Dat is toch die IIS map? Er binnen in zitten verschillende mappen. En is ongeveer 4.4 Mbyte groot. Heb ik nou IIS draaien? Want als ik in control panel die add/remove windows components dan staat IIS server niet aangevinkt. Ik heb trouwens geen enkele windows components daarin aangevinkt.

Dus vindt dus die map maar vreemd.

KMK @Verwijderd • 19 september 2001 12:01

Nope at zijn de frontpage server extensions warscheindelijk

Zoek naar de map inetpub als die er niet is dan heb je hem niet draaien of kijk gewoon bij services bij adminstra gebeuren

Flupke 18 september 2001 22:29

Wat een lol:

Volgens info Symantec virus definities van 18 september nodig maar kan alleen die van 17 september downloaden ( en die had ik al...)

Hopen ze de update vandaag nog af te krijgen?

flat 18 september 2001 22:31

op GoT loopt hier sinds vanmiddag ook all een topicje over:
http://gathering.tweakers.net/showtopic.php/231310/1 /25

misschien handig voor de mensen die er nog wat meer over willen weten/vragen

Batje4 18 september 2001 22:56

Stand van zaken op mijn thuisbak: sinds vanmiddag 15.00 uur 3900 attacks.

Ik heb linux, dus ik maak me niet veel zorgen. Het kost me wel bandbreedte, en dat vind ik wel vervelend.

[Update 8.52 uur 19-9]
/var/log/httpd cat access_log* | grep cmd.exe | wc -l
6782

Ter vergelijking: in drie weken Code Red had ik 7200 attacks.

[/Update]

[Update 8.09 uur 20-9]
/var/log/httpd cat access_log* | grep cmd.exe | wc -l
15089
Opvallend veel uit de 24.x.x.x range (waarvan weer veel 24.132.x.x)
[/Update]

Duur! 18 september 2001 21:15

ook f-secure geeft een melding over dit virus:

hun info: http://www.f-secure.com/v-descs/nimda.shtml

Verwijderd @Duur! • 19 september 2001 11:14

Op NT-Bugtraq is een leuk verhaal gaande:

Infection vectors;
- -----------------
a) Email as an attachment of MIME audio/x-wav type.
b) By browsing an infected webserver with Javascript execution
enabled and using a version of IE vulnerable to the exploits
discussed in MS01-020 (e.g. IE 5.0 or IE 5.01 without SP2).
c) Machine to machine in the form of IIS attacks (primarily
attempting to exploit vulnerabilities created by the effects of Code
Red II, but also vulnerabilities previously patched by MS00-078)
d) Highlighting either a .eml or .nws in Explorer with Active Desktop
enabled (W2K/ME/W98 by default) then the THUMBVW.DLL will execute the
file and attempt to download the README.EXE referenced in it
(depending on your IE version and zone settings).
e) Mapped drives. Any infected machine which has mapped network
drives will likely infect all of the files on the mapped drive and
its subdirectories

To prevent yourself from being infected;

a) Ensure all IE versions have applied MS01-027 (or are IE 5.01SP2 or
above)

b) Disable Active Scripting in IE

c) Ensure all IIS installations have applied MS01-044 (or at the very
least MS01-033)

d) Use the CALCS program to modify the permissions on TFTP.EXE to
remove all use;

CALCS %systemroot%/system32/tftp.exe /D Everyone
CALCS %systemroot%/system32/tftp.exe /D System

Do the same for CMD.EXE
(note, this could be tried with THUMBVM.DLL as well, haven't tried
this myself yet)

e) Ensure that TFTP is not permitted out through your network gateway
(note that newly infected machines may try and TFTP *internally* from
some other infected machine you have on your network)

f) Modify or remove;

HKEY_CLASSES_ROOT\.eml
HKEY_CLASSES_ROOT\.nws

Cleansing information;
- ---------------------

Nimda is viral, so while you can remove various files that it drops
it probably will not be cleaned completely by manual means. This
means you will have to use your AntiVirus vendor's product to
completely cleans.

a) Load.exe dropped as hidden/system file (probably in %systemroot%)
b) Riched20.dll dropped with today's date as hidden/system file.
c) Readme.exe dropped in every directory
d) Admin.dll dropped in /scripts and/or root directories (not the
_vti_bin directories of FrontPage)
e) .eml and .nws files dropped in every directory
f) Possibly modified your default home page in web dirs.
g) Infected numerous files (if not all files) with the 56kb
executable.
h) Reports of people having files lumped together into .eml files

Check with your AV Vendor regularly for updates to the cleansing
programs. I would appreciate any reports from AV Vendors as to how
complete they feel their cleaners currently are. I will do an update
later tonight based on responses.

it0 18 september 2001 21:50

Ik gign even in mijn log voor vandaag kijken en ik zag nog niks ik zag nog wel 10 code red probes en dat voor 1 dag en na alle media hype... kan je nagaan wat deze voor effect gaat hebben...

DJSmiley @it0 • 18 september 2001 22:04

Ik had zojuist dus al iemand aan de foon..

Jij weet wel eens wat he???

Ik heb nu ineens 60-70k/sec uploadverkeer, zodra ik online ben (hij zit via router)

Ikke had net tnet gelezen, dus ik zeg: heb je iis draaien blabla
patch je wel eens? ja, laatste maandje geleden nog alles erop getrapt.

Ikke: surf eens lokaal naar je IIS?
Hij: done, en werd meteen gevraagd offie readme wou openen of opslaan.

* 786562 DJSmiley

Ben benieuwd hoe hard deze verspreid..... Is er ook een specifieke code waarmee ie uit logfiles te herkennen is?? (/me wil wete of ze m hier ook al geprobeerd hebben)

Verwijderd @DJSmiley • 19 september 2001 11:18

Yep, hier een stukkie van m'n log:

213.159.0.90, -, 18-9-01, 15:23:53, W3SVC3, ENTRADA, x.x.x.x, 10, 72, 608, 404, 3, GET, /scripts/root.exe, /c+dir,
213.159.0.90, -, 18-9-01, 15:23:53, W3SVC3, ENTRADA, x.x.x.x, 10, 70, 608, 404, 3, GET, /MSADC/root.exe, /c+dir,
213.159.0.90, -, 18-9-01, 15:23:53, W3SVC3, ENTRADA, x.x.x.x, 10, 80, 608, 404, 3, GET, /c/winnt/system32/cmd.exe, /c+dir,
213.159.0.90, -, 18-9-01, 15:23:53, W3SVC3, ENTRADA, x.x.x.x, 10, 80, 608, 404, 3, GET, /d/winnt/system32/cmd.exe, /c+dir,
213.159.0.90, -, 18-9-01, 15:23:53, W3SVC3, ENTRADA, x.x.x.x, 0, 96, 0, 500, 87, GET, /scripts/..%5c../winnt/system32/cmd.exe, /c+dir,
213.159.0.90, -, 18-9-01, 15:23:54, W3SVC3, ENTRADA, x.x.x.x, 0, 117, 0, 500, 87, GET, /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe, /c+dir,
213.159.0.90, -, 18-9-01, 15:23:54, W3SVC3, ENTRADA, x.x.x.x, 0, 117, 0, 500, 87, GET, /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe, /c+dir,
213.159.0.90, -, 18-9-01, 15:23:54, W3SVC3, ENTRADA, x.x.x.x, 10, 145, 0, 500, 87, GET, /msadc/..%5c../..%5c../..%5c/..Á../..Á../..Á../winnt/system32/cmd.exe, /c+dir,
213.159.0.90, -, 18-9-01, 15:23:54, W3SVC3, ENTRADA, x.x.x.x, 10, 97, 608, 404, 3, GET, /scripts/..Á../winnt/system32/cmd.exe, /c+dir,
213.159.0.90, -, 18-9-01, 15:23:54, W3SVC3, ENTRADA, x.x.x.x, 10, 97, 608, 404, 3, GET, /scripts/winnt/system32/cmd.exe, /c+dir,
213.159.0.90, -, 18-9-01, 15:23:55, W3SVC3, ENTRADA, x.x.x.x, 0, 97, 608, 404, 3, GET, /winnt/system32/cmd.exe, /c+dir,
213.159.0.90, -, 18-9-01, 15:23:55, W3SVC3, ENTRADA, x.x.x.x, 10, 97, 608, 404, 3, GET, /winnt/system32/cmd.exe, /c+dir,
213.159.0.90, -, 18-9-01, 15:23:55, W3SVC3, ENTRADA, x.x.x.x, 0, 98, 0, 500, 87, GET, /scripts/..%5c../winnt/system32/cmd.exe, /c+dir,
213.159.0.90, -, 18-9-01, 15:23:55, W3SVC3, ENTRADA, x.x.x.x, 0, 96, 0, 500, 87, GET, /scripts/..%5c../winnt/system32/cmd.exe, /c+dir,
213.159.0.90, -, 18-9-01, 15:23:55, W3SVC3, ENTRADA, x.x.x.x, 0, 100, 0, 500, 87, GET, /scripts/..%5c../winnt/system32/cmd.exe, /c+dir,
213.159.0.90, -, 18-9-01, 15:23:55, W3SVC3, ENTRADA, x.x.x.x, 0, 96, 0, 500, 87, GET, /scripts/..%2f../winnt/system32/cmd.exe, /c+dir,

Zarc.oh 19 september 2001 11:18

Het is trouwens niet te hopen dat dit soort wormen gecombineerd worden met LiNuX wormen.
Als er iemand een worm schrijft met tig exploits voor linux progs en dan combineert met nimda, dan zijn de poppen aan het dansen.
Er is nl al een virus die zowel nt als linux infecteert (weet de url niet meer)...

0siris @Zarc.oh • 19 september 2001 11:31

Neehee!, want als het goed is, draait apache niet met root rechten. Dus die poppen gaan helemaal niet dansen in Linux (kun je wel instellen hoor!

)

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (93)

Sorteer op:

Weergave: