Un aiuto contro Nimda

[7r5]

Nel PC del reparto dove lavoro ho lanciato il tool contro Nimda (ogni tanto lo faccio per precauzione). La risposta al termine della scansione è stata questa:
Found PE_NIMDA . A-O ->
C:WindowsDesktopARCHIVIO RICOVERIpiatto calibratori.eml....Deleted
Ho eseguito una ricerca del file Readme.exe e del file Load.exe con la funzione TROVA, ma non ci sono. Ho cercato anche tutti i file con estensione eml ed ho trovato il file incriminato che era preceduto dall'icona della letterina. Che significa? Che è stata inviata una e-mail infetta o che il PC ha spedito una e-mail ad un altro PC?
Posso stare tranquillo che il file è stato definitivamente eliminato oppure no?
Se in IE disabilitassi gli Active X e il downloads dei files il PC sarebbe al sicuro quando si è collegati oppure non serve a niente?

[dado]

Fammi capire... alla fine, il tool che hai usato, ti ha solo individuato il file infetto, giusto? Visto che qd hai cercato sul pc, il file in questione c'era ancora! In tal caso, se proprio non vuoi cancellar l'email xè magari ti serve, usa un antivirus e prova a riparare il file. Ad ogni modo, ti consiglio di usare lo stesso un AV x vedere se il virus è stato rimosso completamente. Il file dovrebbe essere un'email che ti è arrivata. Anche xè è salvata in una cartella 'anomala'. Magari ti è arrivata come allegato ad un'altra email ed è stata salvata in quella directory...
Cmq, disattivare il download di file non credo possa servire con i virus, visto che ti arrivano via email. Al limite puoi filtrare la posta in entrata con un AV!


<font face=verdana size=-2>[ Questo messaggio è stato modificato da: dado il 14/01/02 01:09 ]</font>

[Triumph Of Steel]

Il Nimda arriva in formato EML (di posta) ma infetta più che altro i siti, mi sembra usando un bug di IIS ...

si riconosce quando entri in un sito, e una volta dentro ti si apre un POPUP con un file di estensione EML appunto... questo vuol dire che il server dei siti è infetto dal Nimda...

Una cosa molta scomodo del tool che elimina il nimda, è che mi pare di ricordare, ti resetta la configurazione di IIS, e quindi ti tokka riconfigurare il tutto.. questo succedeva non appena era uscita la patch.. ora magari con una nuova non serve riconfigurare tutto...

sul sito della norton dovresti trovare dei Docs al riguardo...

[modenet]

parlo per esperienza personale: a causa di nimda ho perso due server e ti posso assicurare che le ho provate tutte prima di alzare bandiera bianca!
purtroppo era già tardi quando è comparso sul sito della norton l'apposito removal http://www.symantec.com/avcenter/venc/d ... .tool.html che rimuove i readme.eml e i tag nei file html sempre per esperienza ti consiglio comunque di installare un ottimo av perché il tool non sempre elimina completamente il virus.

un'ultima cosa: nimda non modifica la configurazione di iis.

Moro Denis
modenet@freemail.it

[7r5]

Il tool che viene utilizzato dal computer ha questa intestazione:
FIX_NIMDA Version 1.00
Copyright (c) 1987-2000 TREND MICRO, Inc
Quando viene lanciato appare la finestra del DOS che si richiude da sola al termine dell'operazione di scansione.
L'antivirus che viene utilizzato è InoculateIT personal edition.
Ho eseguito nuovamente per diverse volte il lancio del tool.
Ho trovato altri files. Il percorso è identico. Di diverso una volta c'era "biz2.eml" poi "desktop.eml" e poi ancora un altro che non ricordo.
Al termine dell'ennesimo lancio del tool ho provato con la soltia funzione Trova e ho digitato *.eml
Non è stata trovata alcuna voce.
Devo aggiungere che ho eseguito una scansione del floppy che noi usiamo per salvare i dati dei ricoveri e che dobbiamo fare sempre tutti i giorni dopo l'infezione che subimmo da parte di Sircam.
Il floppy era infetto e IT ha risolto il problema anche se per sicurezza cambieremo il dischetto. Anche la cartella denominata Archivio Ricoveri era infetta e anche stavolta IT ha provveduto.
Spero che si sia risolto tutto altrimenti sarò costretto ad interpellare qualche programmatore del nostro CED.
Se vi fossero delle novità vi farò sapere.