ADMIN-MASZ WIRUSA! TO NIE ZART, NIESTETY

[Gość: Helga]

Na informacjach Dnia jakis idiota zacheca do wejscia na strone, na ktorej sie automatycznie laduje
wirus W32.NIMDA.A@MM
jest dosyc zlosliwy, replikuje sie za pomoca poczty oraz uszkadza pliki systemowe tak, zeby byly
bardziej podatne na ingerencje z zewnatrz. UWAGA - program Norton Antyvirus nie usuwa calego
wirusa. Fragmenty zostaja na kompie i moga ulatwic wejscie z zewnatrz.

Link do tego posta:

www.gazeta.pl/alfa/home.jsp?dzial=0511&forum=INFORMACJE&wid=1105344&aid=1105344

Zycze milej zabawy w nocy:(

Forumowicze, to nie zart. Ten idiota naprawde to zrobil. Nie powiem kogo mam na mysli, bo i tak
wszyscy wiedza. A pan, panie admin, niech zajrzy w logi, to wszyscy bedziemy mieli swiety spokoj.

Opis wirusa

[Gość: Helga]

W32.Nimda.A@mm is a mass-mailing worm that utilizes multiple methods to spread itself. The
name of the virus came from the reversed spelling of "admin". The worm sends itself out by email,
searches for open network shares, attempts to copy itself to unpatched or already
vulnerable Microsoft IIS web servers, and is a virus infecting both local files and files on remote
network shares. When the worm arrives by email, the worm uses a MIME exploit allowing the virus to
be executed just by reading or previewing the file. Information and a patch for this exploit can be
found at

www.microsoft.com/technet/security/bulletin/MS01-020.asp

The worm then infects executables, creates itself as .eml and .nws files, and copies itself as
Riched20.dll in folders that contain .doc files on the local drive. The worm searches for files in the
paths listed in the registry keys:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\App Paths

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\Shell Folders

The worm hooks the system by modifying the System.ini file as follows:

Shell = explorer.exe load.exe -dontrunold

It also replaces the file Riched20.dll. Riched20.dll is a legitimate Windows .dll file that is used by
programs such as Microsoft Word. By replacing this file, the worm is executed each time programs
such as Microsoft Word are executed.

The worm also registers itself as a service process or adds itself as a remote thread to the Explorer
process. This allows the worm to continue to execute even when a user is not actively logged on.

The worm copies itself as the file:

%Windows\System%\load.exe

Nimda contains a mass-mailing routine which is executed every 10 days. The worm begins this
routine by first searching for email addresses. The worm searches for email addresses in .htm and
.html files on the local system. The worm also uses MAPI to iterate through all messages that are
contained in any MAPI-compliant email clients. Any MAPI supporting email clients may be affected
including Microsoft Outlook and Outlook Express. The worm uses these email address for the To:
and the From: addresses. Thus, mail sent from the infected computer will appear to have been sent
by the people whose addresses have been found by Nimda, not by the person whose computer is
infected.

The worm uses its own SMTP server to send out emails using the configured DNS entry to obtain a
mail server record (MX record).

When the worm is received by email, the worm uses a old known MIME exploit to auto-execute itself.
The worm will be unable to execute using Microsoft Outlook or Outlook Express if the system has
been patched against this exploit.

Once a computer has been attacked by W32.Nimda.A@mm, it is possible that your system has been
accessed remotely by an unauthorized user. For this reason it is impossible to guarantee the integrity
of a system that has had such an infection.

If you need to be certain that your organization is secure, you must reinstall the operating system, and
restore files from a backup that was made before the infection took place, and change all passwords
that may have been on the infected computers or that were accessible from it. This is the only way to
ensure that your systems are safe.

a tool to remove infections caused by W32.Nimda.A@mm:

securityresponse.symantec.com/avcenter/venc/data/w32.nimda.a@mm.removal.tool.html
---------------
Tyle wystarczy dla forumowiczow. Po przepuszczeniu przez ten program najprawdopodobniej
bedziecie musieli jeszcze raz instalowac systemowa fiszke w Windowsach Riched20.dll bo jest
uszkodzona a byc moze takze Ms.Word czy calego Office. Ms.Explorer moze tez nie dzialac. Milej
zabawy tym, co tam klikneli. Raczej nie rozsylajcie zadnej poczty znajomym, bo to sie rozniesie.

I Norton naprawde nie usuwa calego kodu, chociaz tak pokazuje. Przed robieniem czegokolwiek
radzilabym usunac wszystko co nowe z folderu Windows/Temp i do zera wyczyscic Internet Temporary
Files.

A ten koles to glupek i amator

[Gość: Helga]

bo uzywa wirusa sprzed wielu lat. hehehe. Ciulas.

A rob sobie co chcesz, Admin

[Gość: Helga]

Ja to mam w nosie. Pod tym postem wpisaly sie jakies 2 osoby, z czego wynika, ze zagladaly na tego
linka. Kto inny moze tez zagladal. Moge sie zalozyc, ze szczyt ich oprogramowania to Norton Antvir. I
sie ciesza, ze im wylapal. A ja mowie, ze nie wszystko wylapal, i ze w zaleznosci co maja, ten wirus
moze im sie za jakis czas uaktywnic i doczepic do wysylanej przez nich poczty. A moze tam zajrzec
ktos, kto w ogole zadnego antyvira nie ma. Ale ty wiesz lepiej. Ten post dalej tam wisi. A co mi tam.

Helga, normalnie...

[quickly]

...opanowala cie znieczulica. A jak ten glupek egon otworzy ta file i gop
zaatakuje jakis wirus - to tez sie bedziesz znieczulenie smiala?
Jaka tak mozesz - mialem lepsze zdanie o wroclawiankach!

[Gość: Helga]

quickly napisał(a):

> ...opanowala cie znieczulica. A jak ten glupek egon otworzy ta file i gop
> zaatakuje jakis wirus - to tez sie bedziesz znieczulenie smiala?
> Jaka tak mozesz - mialem lepsze zdanie o wroclawiankach!

Egon jest zabezpieczony jak Fort Knox, quickly. Ubaw to ja mam raczej z tych milosnikow wiruskow, bo mi
sie jeden jakis czas temu Nortonem Antyvirem przechwalal. I jak sobie zrobili ta strone, to pewnie potem
klikali zeby sprawdzic, czy dziala:)))))))))))))))

Ale ten Norton faktycznie nie usuwa wszystkiego, sam mozesz to sprawdzic, kliknij sobie. A niektorzy
uzytkownicy to nawet tego nie maja. Ale co tam, admin wie lepiej. Niech robia co chca.

[pan_conti]

Gość portalu: Helga napisał(a):

> quickly napisał(a):
>
> > ...opanowala cie znieczulica. A jak ten glupek egon otworzy ta file i gop
> > zaatakuje jakis wirus - to tez sie bedziesz znieczulenie smiala?
> > Jaka tak mozesz - mialem lepsze zdanie o wroclawiankach!
>
> Egon jest zabezpieczony jak Fort Knox, quickly. Ubaw to ja mam raczej z tych mi
> losnikow wiruskow, bo mi
> sie jeden jakis czas temu Nortonem Antyvirem przechwalal. I jak sobie zrobili t
> a strone, to pewnie potem
> klikali zeby sprawdzic, czy dziala:)))))))))))))))
>
> Ale ten Norton faktycznie nie usuwa wszystkiego, sam mozesz to sprawdzic, klikn
> ij sobie. A niektorzy
> uzytkownicy to nawet tego nie maja. Ale co tam, admin wie lepiej.



Admin ma Wirusa gdzieś. On tylko MR.Contiego obserwuje:(





Niech robia c
> o chca.

[Gość: Helga]

pan_conti napisał(a):

>
>
>
> Gość portalu: Helga napisał(a):
>
> > quickly napisał(a):
> >
> > > ...opanowala cie znieczulica. A jak ten glupek egon otworzy ta file i
> gop
> > > zaatakuje jakis wirus - to tez sie bedziesz znieczulenie smiala?
> > > Jaka tak mozesz - mialem lepsze zdanie o wroclawiankach!
> >
> > Egon jest zabezpieczony jak Fort Knox, quickly. Ubaw to ja mam raczej z ty
> ch mi
> > losnikow wiruskow, bo mi
> > sie jeden jakis czas temu Nortonem Antyvirem przechwalal. I jak sobie zrob
> ili t
> > a strone, to pewnie potem
> > klikali zeby sprawdzic, czy dziala:)))))))))))))))
> >
> > Ale ten Norton faktycznie nie usuwa wszystkiego, sam mozesz to sprawdzic,
> klikn
> > ij sobie. A niektorzy
> > uzytkownicy to nawet tego nie maja. Ale co tam, admin wie lepiej.
>
>
>
> Admin ma Wirusa gdzieś. On tylko MR.Contiego obserwuje:(
>
>
>
>
>
> Niech robia c
> > o chca.
>
Glupek od wiruskow sie przestraszyl i juz tego wiruska usunal, Mr. Conti:) Aktualnie wchodzi sie na "strone w
budowie".

A JEDNAK NIE USUNAL

[Gość: Helga]

> pan_conti napisał(a):
> >
> > Admin ma Wirusa gdzieś. On tylko MR.Contiego obserwuje:(

> >
> Glupek od wiruskow sie przestraszyl i juz tego wiruska usunal, Mr. Conti:) Aktu
> alnie wchodzi sie na "strone w
> budowie".

Wirusek nie jest usuniety, tylko przerobiony. Wchodzic nie zalecam.

Admin to ma w dupie,..Wirusy czy pszeklestwa tutaj

[Gość: Siemanko]

Adminowi to wszystko wisi co tu sie robi na forum czy gdzie kolwiek on i tak ma
to gdziesz,..myslicie ze on sie tym pszejmuje,cos sie stanie to nie jego
glowa,placi wszystko gazeta,.a nawet jak komputer siadnie jemu to on nadal ma
to w dupie,..Admin nawet dupa nie ruszy,zeby cos zrobic.
Ile tutaj pszeklinaja ludzie pisza bzdury,pierdoly, a admin na to co NIC,..
Poprostu wszystko ma gdziesz,..
Ja tylko jemu radze zeby sie zabral do porzadku,
I wywalil pszeklestwa,czy zlosliwe posty z tego forum.
Bo tylko to tej pory samego guwno z tego zrobil.
Pozdrawiam,..

BARDZO CIEKAWE PODOBIENSTWA!!!!!!!!!!!!!!!!!!!!!!!

[kochanka]

VIST: adres: *.wroclaw.sdi.tpnet.pl
EL-HAKIM: adres: *.wroclaw.sdi.tpnet.pl
VIRI: adres: *.wroclaw.cvx.ppp.tpnet.pl
MARINO: adres: *.wroclaw.cvx.ppp.tpnet.pl (Pan Marino powiesił Virusa)








Gość portalu: Helga napisał(a):

> Na informacjach Dnia jakis idiota zacheca do wejscia na strone, na ktorej sie a
> utomatycznie laduje
> wirus W32.NIMDA.A@MM
> jest dosyc zlosliwy, replikuje sie za pomoca poczty oraz uszkadza pliki systemo
> we tak, zeby byly
> bardziej podatne na ingerencje z zewnatrz. UWAGA - program Norton Antyvirus nie
> usuwa calego
> wirusa. Fragmenty zostaja na kompie i moga ulatwic wejscie z zewnatrz.
>
> Link do tego posta:
>
> <a href="www.gazeta.pl/alfa/home.jsp?dzial=0511&forum=INFORMACJE&wid=110
> 5344&aid=1105344">www.gazeta.pl/alfa/home.jsp?dzial=0511&forum=INFORMACJE&wid=1
> 105344&aid=1105344</a>
>
> Zycze milej zabawy w nocy:(
>
> Forumowicze, to nie zart. Ten idiota naprawde to zrobil. Nie powiem kogo mam na
> mysli, bo i tak
> wszyscy wiedza. A pan, panie admin, niech zajrzy w logi, to wszyscy bedziemy mi
> eli swiety spokoj.

[Gość: Helga]

kochanka napisał(a):

> VIST: adres: *.wroclaw.sdi.tpnet.pl
> EL-HAKIM: adres: *.wroclaw.sdi.tpnet.pl
> VIRI: adres: *.wroclaw.cvx.ppp.tpnet.pl
> MARINO: adres: *.wroclaw.cvx.ppp.tpnet.pl (Pan Marino powiesił Virusa)
>
>
Ku mojemu glebokiemu zdumieniu to jednak nie Vist. Oni mi do tego stopnia nie wierzyli, ze jeden z
nich sam kliknal zeby sie przekonac. I sie przekonal, ale zabezpieczony byl lepiej, to mu sie nic nie stalo.
Z czego sie bardzo ciesze, nie ukrywam, bo mialam pietra. Wy sobie mieszkacie w roznych miejscach, a
ja tez we Wroclawiu. I jak sobie wyobrazilam, ze on tak ludzi nienawidzi, ze az takie rzeczy robi, zeby sie im
do skory dobrac, to sie przyznam szczerze, cierpla na mnie skora, i to nie tylko ze strachu o wycieraczke.
W sprawie wirusow mam z Vistem zawieszenie broni. Jak sie do kogos z Wroclawia przyczepi, to mu
lepiej dajcie spokoj. A w watkach nie o wirusach to prosze bardzo:)