© Virusalert schaal

  • Innovatie: 75
  • Besturing: 60
  • Logistiek: 60
  • Schade: 60
  • Schaal: 64
  • Aanduiding: zeer gevaarlijk

W32.Nimda.A@mm

  • Type internet worm
  • Besturingssysteem Microsoft Windows
  • Risico hoog
  • Bron (c) 2001, Virusalert.nl
  • Alias Nimda Nimda.A
  • Preventie NULL
  • Verwijderinstructie AUTOMATISCH: tool om Nimda te verwijderen van Symantec. MET DE HAND: 1. Zorg dat je de laatste virusdefinities van je virusscanner hebt ! 2. Doe een complete systeemscan, zorg ervoor dat je viruscanner ALLE bestanden scant. 3. Wanneer de scanner bestanden aangeeft als "W32.Nimda.A@mm" of "W32.Nimda.A@mm (html)", kies repareren. 4. Wanneer de scanner bestanden aangeeft als "W32.Nimda.A@mm (dr)" of "W32.Nimda.A@mm (dll)", kies verwijderen. 5. Herstart computer. 6. Herhaal stap 1 t/m 5 totdat er geen besmette bestanden meer gevonden worden. 7. Verwijder de volgend tekst van de "Shell=" regel in system.ini: "load.exe -dontrunold" 8. Deel geen onnodige schijven of directories (sharing) 9. Verwijder de gast gebruiker (Guest account) uit de Beheerders groep (Administrators group). (Alleen Windows NT/2000) TIP: Gebruik managed secure services van 4sure.it, probeer gratis een trial-versie. Het werkt tegen het Nimda-virus! 4sure.it (powered by McAfee)

Nimda.A.32 is een totaal nieuw virus wat gangbare technieken van bestaande virussen combineert en benut waardoor het een uiterst gevaarlijk virus is. (o.a. CodeRed & Bluemail)
Het virus verspreidt zich razendsnel, dit komt doordat het zowel via e-mail verspreidt wordt als ook via besmette (IIS) servers, hiertoe voert het virus een Denial Of Server-aanval uit!
Het belangrijkste effect van het virus is dat het voor totale overbelasting van mail- en internetservers zorgt.

Voor de verspreiding via email maakt het virus gebruik van het adressenboek van Windows maar ook van andere emailadressen die het vindt op het besmette systeem.
Het virus activeert zich automatisch:
In “outlook express” als je het bekijkt in de voorbeeldweergave.
In “outlook” als je het bijlagebestand opent.

Voor de verspreiding via IIS-servers maakt het virus gebruik van een aantal “bugs” (16 in totaal). Bezoekers van websites die gebruik maken van deze servers worden automatisch doorgesluisd naar een “besmette” website waar het virus-bestand kan worden gedownload. (Dit bestand heet:README.EML)

Als laatste probeert het virus vanaf het besmette systeem of server toegang te krijgen tot het (lokale) netwerk om zich ook in dit netwerk te installeren. Daarbij configureert het Windows dusdanig dat het iedere keer automatisch wordt gestart indien Windows opnieuw wordt opgestart.

Eigenschappen van het e-mailtje
Onderwerp: (willekeurige aanduiding)
Tekst: none
Bijlage: readme.exe

Factsheet
Ontdekking op 18 september rond een uur of 15:00.
Gedetecteerd in ondermeer: Engeland, Verenigde Staten, Noorwegen & Hong Kong.
Binnen een uur al 1500 exemplaren onderschept.
Bekend bij o.a.: Messagelabs.com, McAfee, Symantec & Norman ASA.