---

Hejsa,

Jeg har været en tur i Sverige siden i torsdags og kommer hjem til min
Cube, som har stået med OS X hele tiden. Skæmen vågner fint ved berøring
af musen og tilsyneladende virker alt fint. Jeg kan dog ikke få liv i
Entourage, som forsøger at få min opmærksomhed ved at hoppe med ikonet.
Den er bare død, når jeg prøver at komme i kontakt med programmet.

Maskinen fungerer ellers fint, men da jeg prøver at genstarte for at få
liv i Entourage, vil den ikke rigtig. Jeg vælger at forcequite
Entourage, men det resulterer i at Force Quit vinduet ikke kan lukkes,
da jeg får SBOD når jeg nærmer mig knapperne på vinduet. I Terminal ser
jeg, at Login Window æder en hel del resourcer og beslutter mig for at
dræbe den, velvidende at det kan tage maskinen ned. Den skulle jo
genstartes af alligevel. Ganske rigtigt så får en "kill [pid]" maskinen
til at vise SBOD og jeg må ty til resetknappen.

Efter genstart fungerer alt igen, men nu ser jeg, at der er dukket en
fil op på mit skrivebord, som hedder "michelle projektopgave 01.eml".
Jeg mindes ikke at den skulle være der og kender ikke filen. Hvis jeg
åbner den i BBEdit, ser jeg følgende i toppen af filen:

*******
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="====_ABC1234567890DEF_===="
X-Priority: 3
X-MSMail-Priority: Normal
X-Unsent: 1

--====_ABC1234567890DEF_====
Content-Type: multipart/alternative;
boundary="====_ABC0987654321DEF_===="

--====_ABC0987654321DEF_====
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable


<HTML><HEAD></HEAD><BODY bgColor=3D#ffffff>
<iframe src=3Dcid:EA4DMGBP9p height=3D0 width=3D0>
</iframe></BODY></HTML>
--====_ABC0987654321DEF_====--

--====_ABC1234567890DEF_====
Content-Type: audio/x-wav;
name="readme.exe"
Content-Transfer-Encoding: base64
Content-ID: <EA4DMGBP9p>
******

Herefter følger en masse binær data. En hurtig søgning på nettet
afslører, at .eml filer tilsyneladende har noget at gøre med Nimda
virus'en og dens varianter. Det undrer mig meget, at den fil er dukket
op på skrivebordet på MIN maskine.

Jeg laver derefter en søgning på "eml" på min harddisk og det afslører
et hav af .eml filer på min harddisk. Faktisk over tusinde! Navnene
svinger meget, men specielt "sample.eml" og "leif.eml" ligger der
rigtigt mange gange. Disse filer indeholder følgende i toppen af filen:

*****
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="====_ABC123456j7890DEF_===="
X-Priority: 3
X-MSMail-Priority: Normal
X-Unsent: 1

--====_ABC123456j7890DEF_====
Content-Type: multipart/alternative;
boundary="====_ABC09876j54321DEF_===="

--====_ABC09876j54321DEF_====
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable


<HTML><HEAD></HEAD><BODY bgColor=3D#ffffff>
<iframe src=3Dcid:EA4DMGBP9p height=3D0 width=3D0>
</iframe></BODY></HTML>
--====_ABC09876j54321DEF_====--

--====_ABC123456j7890DEF_====
Content-Type: audio/x-wav;
name="sample.exe"
Content-Transfer-Encoding: base64
Content-ID: <EA4DMGBP9p>
******

Det er altså tydeligt, at jeg på en eller anden måde er blevet inficeret
af Nimbda på min Mac, men den kan selvfølgelig ikke eksekveres. Nu er
spørgsmålet så bare, hvordan disse filer er kommet ind på min maskine.
Der er flere muligheder:

1. Jeg har været så uforsigtig at have Dave kørende i baggrunden på min
OS X maskine og måske endda med blankt password for læse/skrive adgang.
Det har jeg gjort for nemmere overføre filer mellem min Mac og min
PC'er. Nu er min Mac (desværre) tilsluttet nettet via TDC BredBånd ADSL
og er derfor direkte på nettet med en offentlig IP-adresse, så min
PC-share har altså været åben for enhver. DUMT! Tyve piskeslag til mig
selv. Er der en måde, hvorpå jeg kan se om der er nogen der har koblet
sig på mine PC-shares via Dave? En log-fil? Det ville være fedt med en
IP-adresse.

2. Min egen eller en af mine kammeraters PC'ere kan være inficeret. Det
har jeg ikke fået tjekket endnu.

3. En sikkerhedsbrist i Entourage? I denne sammenhæng er det
bemærkelsesværdigt, at Entourage var gået kold da jeg kom hjem. Kan det
have nogen sammenhæng? Jeg kører OS X 10.1.4 og har kørt alle
opdateringer til Office X (ink. den nyeste Combo).

4. Jeg har også haft Carracho X 1.0.5b (klienten) kørende i baggrunden
hele tiden, så en evt. brist i denne kan også være årsagen.

"leif.eml", "sample.eml" og "desktop.eml" har en oprettelsesdato der
hedder "lørdag 13. april 2002, 0:58" og en ændringsdato der hedder
"mandag 25. marts 2002, 1:14". Alle filerne med "danske" navne er fra
forskellige datoer, men har alle en ændrindato der hedder "onsdag 2. jan
2036, 4:18". Alle disse filer ligger spredt rundt omkring i alle mapper
som ligger i mit home-bibliotek, hvilket passer meget godt med, at jeg
har delt hele mit home-bibliotek med Dave...

Mens jeg har siddet og rodet med dette har jeg åbnet for Console.app i
OS X, da jeg ville prøvet at finde relevante data her, men det kunne jeg
ikke. Jeg opdagede dog, at den jævnligt udspyede ganske nyttesløse data
som dette:

****
Do you want me to sit in the corner and rust, or just fall apart where
I'm standing?
Wearly I sit here, pain and misery my only companions.
My capacity for happiness, you could fit it into a matchbox without
taking out the matches first.
I'm not getting you down at all, am I?
Would you like me to go and stick my head in a bucket of water?
Funny, how just when you think life can't possibly get any worse it
suddenly does.
Wearly I sit here, pain and misery my only companions.
Funny, how just when you think life can't possibly get any worse it
suddenly does.
Do you want me to sit in the corner and rust, or just fall apart where
I'm standing?
Ha, but my life is a box of wormgears.
Funny, how just when you think life can't possibly get any worse it
suddenly does.
****

Hvor dælen kommer det fra? Er der ondsindet kode i gang på min maskine?

Nå, nu er jeg træt og bliver nødt til at gå i seng. Jeg vil dog være
taknemmelig for enhver hjælp som kan kaste lys over denne affære! Jeg er
ikke så vild med, at fremmede har kunne luske rundt i mine filer, selvom
der ikke rigtigt ligger noget af speciel værdi. Det føles lidt
ubehageligt...

--
Mvh.
René Frej Nielsen

---

Hej René

Mit første råd er, - få Cube'n væk fra dit netværk hurtigst mulig. Det
næste, - undersøg alle de maskiner, du har på netværk, om de også er
inficerede, - især, hvis du har din PC stående online hele tiden.

Jeg véd godt, jeg burde skrive mellem de forskellige afsnit... Men det her
er da til at tage og føle på. Først bør du læse det opr. indklæg til tråden
om sikkerhedsproblemer i Microsoft Office, og det andet indlæg med flere
links, jeg sendte fredag aften.

Du _har_ fået Nimda! - Og den er eksekveret, så det batter til noget! - Men
spørgsmålet er, hvor du så har fået den _fra_, - det tør jeg ikke
umiddelbar gisne om. Men jeg har selv fået ca. 8-10 mails af lign. karakter
her i løbet af weekenden med samme '.eml' vedhæng, men da jeg ikke bruger
hverken MSIE eller Entourage eller noget andet MS software til IT, så er
filerne heldigvis ikke blevet downloaded, og jeg har blot slettet dem.

For mit vedkommende var de vedhæftet en 'reklame' for en sex-side' sendt
via hhv. AOL og Yahoo.

Nimda er noget djævelskab, og da den jo er en afart af Melissa-gruppen, så
kan den - på trods af, hvad nogle her i gruppen vil sige, - eksekveres på
en Mac, især med OS X og MS IT-opkoblinger.

De små 'kommentarer', du har skrevet, er et tydeligt tegn på, at den er
eksekveret fuldt ud, og du har ikke andre muligheder for at blive den kvit
end at gå igang med at slette alle .eml filerne. Jeg er ikke engang sikker
på, at seneste version af Virex kan klare det, - NAV kan ihvertfald ikke,
så du skulle nok prøve med FileBuddy 7.

Det vil heller ikke hjælpe dig noget at tage backup og omformattere din HD,
da du ved backup også vil lave backup af disse .eml filer, og såsnart du
igen begynder at flytte data tilbage, vil bare en enkelt .eml være nok til,
at den vil dublere sig selv igen, og tilsidst vil du have samme problem og
din HD vil blive fyldt med dem nok en gang.

Den HTML header, der følger efter content ID indeholder de 'spidse'
bemærkninger, du får, og som øjensynlig skulle være morsomt ment, men jeg
synes ikke, de er spor morsomme, når man véd, at der er en orm, der
formerer sig godt og grundigt.

Jeg tør desværre heller ikke sige eller gætte på, hvor meget andet skade,
den har nået at lave på din X installation. Det kender jeg alt for lidt til
X til at bare turde sige noget om.

mvh. Erik Richard

"René Frej Nielsen" wrote:

> Jeg har været en tur i Sverige siden i torsdags og kommer hjem til min
> Cube, som har stået med OS X hele tiden. Skæmen vågner fint ved berøring
> af musen og tilsyneladende virker alt fint. Jeg kan dog ikke få liv i
> Entourage, som forsøger at få min opmærksomhed ved at hoppe med ikonet.
> Den er bare død, når jeg prøver at komme i kontakt med programmet.
>
> Maskinen fungerer ellers fint, men da jeg prøver at genstarte for at få
> liv i Entourage, vil den ikke rigtig. Jeg vælger at forcequite
> Entourage, men det resulterer i at Force Quit vinduet ikke kan lukkes,
> da jeg får SBOD når jeg nærmer mig knapperne på vinduet. I Terminal ser
> jeg, at Login Window æder en hel del resourcer og beslutter mig for at
> dræbe den, velvidende at det kan tage maskinen ned. Den skulle jo
> genstartes af alligevel. Ganske rigtigt så får en "kill [pid]" maskinen
> til at vise SBOD og jeg må ty til resetknappen.
>
> Efter genstart fungerer alt igen, men nu ser jeg, at der er dukket en
> fil op på mit skrivebord, som hedder "michelle projektopgave 01.eml".
> Jeg mindes ikke at den skulle være der og kender ikke filen. Hvis jeg
> åbner den i BBEdit, ser jeg følgende i toppen af filen:
> .....
>
> Herefter følger en masse binær data. En hurtig søgning på nettet
> afslører, at .eml filer tilsyneladende har noget at gøre med Nimda
> virus'en og dens varianter. Det undrer mig meget, at den fil er dukket
> op på skrivebordet på MIN maskine.
>
> Jeg laver derefter en søgning på "eml" på min harddisk og det afslører
> et hav af .eml filer på min harddisk. Faktisk over tusinde! Navnene
> svinger meget, men specielt "sample.eml" og "leif.eml" ligger der
> rigtigt mange gange. Disse filer indeholder følgende i toppen af filen:
> .....
>
> Det er altså tydeligt, at jeg på en eller anden måde er blevet inficeret
> af Nimbda på min Mac, men den kan selvfølgelig ikke eksekveres. Nu er
> spørgsmålet så bare, hvordan disse filer er kommet ind på min maskine.
> Der er flere muligheder:
>
> 1. Jeg har været så uforsigtig at have Dave kørende i baggrunden på min
> OS X maskine og måske endda med blankt password for læse/skrive adgang.
> Det har jeg gjort for nemmere overføre filer mellem min Mac og min
> PC'er. Nu er min Mac (desværre) tilsluttet nettet via TDC BredBånd ADSL
> og er derfor direkte på nettet med en offentlig IP-adresse, så min
> PC-share har altså været åben for enhver. DUMT! Tyve piskeslag til mig
> selv. Er der en måde, hvorpå jeg kan se om der er nogen der har koblet
> sig på mine PC-shares via Dave? En log-fil? Det ville være fedt med en
> IP-adresse.
>
> 2. Min egen eller en af mine kammeraters PC'ere kan være inficeret. Det
> har jeg ikke fået tjekket endnu.
>
> 3. En sikkerhedsbrist i Entourage? I denne sammenhæng er det
> bemærkelsesværdigt, at Entourage var gået kold da jeg kom hjem. Kan det
> have nogen sammenhæng? Jeg kører OS X 10.1.4 og har kørt alle
> opdateringer til Office X (ink. den nyeste Combo).
>
> 4. Jeg har også haft Carracho X 1.0.5b (klienten) kørende i baggrunden
> hele tiden, så en evt. brist i denne kan også være årsagen.
>
> "leif.eml", "sample.eml" og "desktop.eml" har en oprettelsesdato der
> hedder "lørdag 13. april 2002, 0:58" og en ændringsdato der hedder
> "mandag 25. marts 2002, 1:14". Alle filerne med "danske" navne er fra
> forskellige datoer, men har alle en ændrindato der hedder "onsdag 2. jan
> 2036, 4:18". Alle disse filer ligger spredt rundt omkring i alle mapper
> som ligger i mit home-bibliotek, hvilket passer meget godt med, at jeg
> har delt hele mit home-bibliotek med Dave...
>
> Mens jeg har siddet og rodet med dette har jeg åbnet for Console.app i
> OS X, da jeg ville prøvet at finde relevante data her, men det kunne jeg
> ikke. Jeg opdagede dog, at den jævnligt udspyede ganske nyttesløse data
> som dette:
>
> ****
> Do you want me to sit in the corner and rust, or just fall apart where
> I'm standing?
> Wearly I sit here, pain and misery my only companions.
> My capacity for happiness, you could fit it into a matchbox without
> taking out the matches first.
> I'm not getting you down at all, am I?
> Would you like me to go and stick my head in a bucket of water?
> Funny, how just when you think life can't possibly get any worse it
> suddenly does.
> Wearly I sit here, pain and misery my only companions.
> Funny, how just when you think life can't possibly get any worse it
> suddenly does.
> Do you want me to sit in the corner and rust, or just fall apart where
> I'm standing?
> Ha, but my life is a box of wormgears.
> Funny, how just when you think life can't possibly get any worse it
> suddenly does.
> ****
>
> Hvor dælen kommer det fra? Er der ondsindet kode i gang på min maskine?
>
> Nå, nu er jeg træt og bliver nødt til at gå i seng. Jeg vil dog være
> taknemmelig for enhver hjælp som kan kaste lys over denne affære! Jeg er
> ikke så vild med, at fremmede har kunne luske rundt i mine filer, selvom
> der ikke rigtigt ligger noget af speciel værdi. Det føles lidt
> ubehageligt...
>
> --
> Mvh.
> René Frej Nielsen

--
K.M.L. Denmark by Erik Richard Sørensen, Member of ADC
Edwin Rahrsvej 20.3.03, DK-8220 Brabrand, Denmark
Phone: (+45) 8625 0963, & (+45) 4082 6109,
E-mail: <kml.ers@mail1.stofanet.dk> <KMLDenmark@netscape.net>
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
- Software - For Theological Education - And For Physically Impaired
- Do it The Nisus Way - Nisus Writer, The Best Text Processor in The World
- Nisus Email, A Revolution In Emailing - Visit: <http://www.nisus.com>
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

---

In article <3CC3751F.E1274314@mail1.stofanet.dk>,
Erik Richard Sørensen <kml.ers@mail1.stofanet.dk> wrote:

> Mit første råd er, - få Cube'n væk fra dit netværk hurtigst mulig. Det
> næste, - undersøg alle de maskiner, du har på netværk, om de også er
> inficerede, - især, hvis du har din PC stående online hele tiden.

Jeg lukkede den ned i aftes for en sikkerheds skyld.

> Jeg véd godt, jeg burde skrive mellem de forskellige afsnit... Men det her
> er da til at tage og føle på. Først bør du læse det opr. indklæg til tråden
> om sikkerhedsproblemer i Microsoft Office, og det andet indlæg med flere
> links, jeg sendte fredag aften.

Jeg har set det og det kunne måske være relevant, men alligevel ikke...

> Du har fået Nimda! - Og den er eksekveret, så det batter til noget! - Men
> spørgsmålet er, hvor du så har fået den fra , - det tør jeg ikke
> umiddelbar gisne om. Men jeg har selv fået ca. 8-10 mails af lign. karakter
> her i løbet af weekenden med samme '.eml' vedhæng, men da jeg ikke bruger
> hverken MSIE eller Entourage eller noget andet MS software til IT, så er
> filerne heldigvis ikke blevet downloaded, og jeg har blot slettet dem.
>
> For mit vedkommende var de vedhæftet en 'reklame' for en sex-side' sendt
> via hhv. AOL og Yahoo.

Jeg har bare ikke modtaget nogen mails fra suspekte afsendere og slet
ikke med vedhæftede filer. Derfor er jeg ret sikker på, at filerne er
kommet ind ad en form for filesharing. Jeg kunne bare godt tænke mig at
vide, om der er en person, som har været inde og rode på min maskine,
eller om det er en Nimbda-virus på en andens maskine, som har fundet min
maskine over nettet og er begyndt at sprede sig til alle mine mapper,
for at blive eksekveret.

> Nimda er noget djævelskab, og da den jo er en afart af Melissa-gruppen, så
> kan den - på trods af, hvad nogle her i gruppen vil sige, - eksekveres på
> en Mac, især med OS X og MS IT-opkoblinger.

Den består jo af en .exe fil og derfor kan jeg ikke se, hvordan den
skulle kunne eksekveres på Mac?

> De små 'kommentarer', du har skrevet, er et tydeligt tegn på, at den er
> eksekveret fuldt ud, og du har ikke andre muligheder for at blive den kvit
> end at gå igang med at slette alle .eml filerne. Jeg er ikke engang sikker
> på, at seneste version af Virex kan klare det, - NAV kan ihvertfald ikke,
> så du skulle nok prøve med FileBuddy 7.

Jeg kan finde dem med Sherlock og bare vælge slet, så det burde ikke
være et problem at komme af med dem. Det vigtigste for mig er at fastlå,
om der har været nogen inde på min maskine.

> Det vil heller ikke hjælpe dig noget at tage backup og omformattere din HD,
> da du ved backup også vil lave backup af disse .eml filer, og såsnart du
> igen begynder at flytte data tilbage, vil bare en enkelt .eml være nok til,
> at den vil dublere sig selv igen, og tilsidst vil du have samme problem og
> din HD vil blive fyldt med dem nok en gang.

Jamen, hvordan skal de der .eml filer kunne eksekvere sig selv, når de
består af en mime-kodet .exe fil?

> Den HTML header, der følger efter content ID indeholder de 'spidse'
> bemærkninger, du får, og som øjensynlig skulle være morsomt ment, men jeg
> synes ikke, de er spor morsomme, når man véd, at der er en orm, der
> formerer sig godt og grundigt.

Hvis de står i headeren, så burde jeg da kunnes dem. Det kan jeg ikke.

> Jeg tør desværre heller ikke sige eller gætte på, hvor meget andet skade,
> den har nået at lave på din X installation. Det kender jeg alt for lidt til
> X til at bare turde sige noget om.

Selve X-installationen fejler nok ikke noget, lige bortset fra de
beskeder der dukker op i konsollen. De er måske harmløse nok og stammer
måske fra et eller andet software, som jeg har installeret; jeg ved bare
ikke hvilket. Da det kræver root-rettigheder at skrive til selve
systemet, kan systemet ikke være beskadiget og det er også kun inden for
min egen home-mappe, at det vrimler med .eml filer.

Tak for dit svar, men jeg synes det indeholder lidt for mange "huller"
til at jeg vil begynde på det helt store. Indtil videre vil maskinen
være slukket mellem brug, hvilket ikke er normalt, og Dave er slået fra!

--
Mvh.
René Frej Nielsen

---

Hej René

"René Frej Nielsen" wrote:

> > Du har fået Nimda! - Og den er eksekveret, så det batter til noget! - Men
> > spørgsmålet er, hvor du så har fået den fra , - det tør jeg ikke
> > umiddelbar gisne om. Men jeg har selv fået ca. 8-10 mails af lign. karakter
> > her i løbet af weekenden med samme '.eml' vedhæng, men da jeg ikke bruger
> > hverken MSIE eller Entourage eller noget andet MS software til IT, så er
> > filerne heldigvis ikke blevet downloaded, og jeg har blot slettet dem.
> >
> > For mit vedkommende var de vedhæftet en 'reklame' for en sex-side' sendt
> > via hhv. AOL og Yahoo.
>
> Jeg har bare ikke modtaget nogen mails fra suspekte afsendere og slet
> ikke med vedhæftede filer. Derfor er jeg ret sikker på, at filerne er
> kommet ind ad en form for filesharing. Jeg kunne bare godt tænke mig at
> vide, om der er en person, som har været inde og rode på min maskine,
> eller om det er en Nimbda-virus på en andens maskine, som har fundet min
> maskine over nettet og er begyndt at sprede sig til alle mine mapper,
> for at blive eksekveret.

Den ene jeg fik, var heller ikke med en synlig vedhæftning, men alligevel
forsøgte den at åbne en HTML side blot ved, at jeg klikkede på mailen for at
slette den. Og da du jo har haft det i netværk med din PC, så kan den være åbnet
på PC'en og via dit netværk spredt sig til dine øvrige maskiner.

Eller, hvis du har VPC til netbank, så kan du have fået den ind ad den vej. Det
er faktisk set før også her i gruppen. Jeg tror, det var sidste år, der var én,
der havde fået en tilsvarende virustype via VPC.

> > Nimda er noget djævelskab, og da den jo er en afart af Melissa-gruppen, så
> > kan den - på trods af, hvad nogle her i gruppen vil sige, - eksekveres på
> > en Mac, især med OS X og MS IT-opkoblinger.
>
> Den består jo af en .exe fil og derfor kan jeg ikke se, hvordan den
> skulle kunne eksekveres på Mac?

Normalt vil den heller ikke kunne det, men netop via netværk og/eller VPC. Der
er en type af Nimda ude i øjeblikket der er autoexecuting, og hvis jeg ikke
husker helt galt, så sker det via enten MSO 2000/2001 eller via Microsoft
Exchange, - og nej, jeg har ikke en link til det, da det kun har været omtalt i
en enkelt mail i vores Nisus gruppe.

> > De små 'kommentarer', du har skrevet, er et tydeligt tegn på, at den er
> > eksekveret fuldt ud, og du har ikke andre muligheder for at blive den kvit
> > end at gå igang med at slette alle .eml filerne. Jeg er ikke engang sikker
> > på, at seneste version af Virex kan klare det, - NAV kan ihvertfald ikke,
> > så du skulle nok prøve med FileBuddy 7.
>
> Jeg kan finde dem med Sherlock og bare vælge slet, så det burde ikke
> være et problem at komme af med dem. Det vigtigste for mig er at fastlå,
> om der har været nogen inde på min maskine.

Hvis du kan se dem med Sherlock og fjerne dem med den, så er det godt, men der
kan ligge en eller flere usynlige filer, som du kun kan se med enten FileBuddy
6.18 eller FB 7

> > Det vil heller ikke hjælpe dig noget at tage backup og omformattere din HD,
> > da du ved backup også vil lave backup af disse .eml filer, og såsnart du
> > igen begynder at flytte data tilbage, vil bare en enkelt .eml være nok til,
> > at den vil dublere sig selv igen, og tilsidst vil du have samme problem og
> > din HD vil blive fyldt med dem nok en gang.
>
> Jamen, hvordan skal de der .eml filer kunne eksekvere sig selv, når de
> består af en mime-kodet .exe fil?

Fordi både Word 2001, Entourage og Word X kan håndtere HTML.

Blandt dine usynlige filer har du også en fil, der svjh. hedder noget med
'office.reg.ID'. Den registrerer dine personlige opl. i MSO 98 og 2001 + MSO X.
Desuden ligger der i mange nye programversioner en usynlig fil 'DS Stroe', der
er nødvendig for at kunne bruge programmerne under X, men ikke under fx. OS 9.x,
men hvorvidt DS-filerne har noget at sige her, tør jeg kun gætte på. - I så fald
skulle de være 'startknappen' til eksekveringen - i dit tilfælde spredningen.

Modsat som på PC, vil Nimda på Mac ikke kunne ødelægge dine programmer eller
datafiler. Den er der bare, men hvis det havde været Melissa.eml, du havde fået,
så er den dobbelt eksekverbar både på Mac og PC. (der findes et par varianter
mere af Melissa, der kan køres på Mac, prøv at kigge på www.nai.com's hjemmeside
og deres virusdatabse.).

> > Den HTML header, der følger efter content ID indeholder de 'spidse'
> > bemærkninger, du får, og som øjensynlig skulle være morsomt ment, men jeg
> > synes ikke, de er spor morsomme, når man véd, at der er en orm, der
> > formerer sig godt og grundigt.
>
> Hvis de står i headeren, så burde jeg da kunnes dem. Det kan jeg ikke.

Såvidt jeg så i den header, du har med i den opr. mail, så var det et par linier
med '<BODY>'. Godt nok véd jeg ikke meget om HTML kodning, men en '<BODY>' kan
indeholde en lille tekst, men hvordan denne genereres er jeg ikke klar over. Og
er der et kald til en 'BODY' fil, så må den jo være der et sted, og så er
spørgsmålet bare hvor. Den kan ligge som en usynlig fil, du ikke kan se med
Sherlock. Så det er derfor jeg anbefaler dig at prøve med FB 6 eller 7.

> > Jeg tør desværre heller ikke sige eller gætte på, hvor meget andet skade,
> > den har nået at lave på din X installation. Det kender jeg alt for lidt til
> > X til at bare turde sige noget om.
>
> Selve X-installationen fejler nok ikke noget, lige bortset fra de
> beskeder der dukker op i konsollen. De er måske harmløse nok og stammer
> måske fra et eller andet software, som jeg har installeret; jeg ved bare
> ikke hvilket. Da det kræver root-rettigheder at skrive til selve
> systemet, kan systemet ikke være beskadiget og det er også kun inden for
> min egen home-mappe, at det vrimler med .eml filer.

Det tror jeg, er dit held.

> Tak for dit svar, men jeg synes det indeholder lidt for mange "huller"
> til at jeg vil begynde på det helt store. Indtil videre vil maskinen
> være slukket mellem brug, hvilket ikke er normalt, og Dave er slået fra!

Jeg tror, du skal se at få fjernet alle .eml filerne og så få checket dine andre
maskiner i netværket, om der er noget dér også.

Jeg véd udmærket godt, at jeg har nogle 'huller' i det, jeg har skrevet, og jeg
tror heller ikke det er nødvendigt at hverken slette disk eller omformattere.
Jeg har haft en forespørgsel ude hos et par stykker, og de har givet svar
tilbage, at det meget vel kan være, at den er eksekveret på selve Mac'en, men at
det i såfald kræver, at du har både MSIE og MSOE og/eller Entourage. Den vil
ikke være eksekverbar gennem nogen former for Netscape til hverken klassisk OS
eller OS X. En af dem siger også, at den højst sandsynlig er eksekveret på en PC
og så overført .eml filerne via dit netværk.

Jeg 'fangede' på et tidspunkt en 'Graphics Accelerator' orm, hvor jeg manuelt
måtte fjerne ca. 1500 stks. og så kørte jeg Virex bagefter, og den fandt så
yderligere et par stykker, som den fjernede, og så kørte det hele bare igen.
Dengang var det på OS 8.6.

mvh. Erik Richard

--
K.M.L. Denmark by Erik Richard Sørensen, Member of ADC
Edwin Rahrsvej 20.3.03, DK-8220 Brabrand, Denmark
Phone: (+45) 8625 0963, & (+45) 4082 6109,
E-mail: <kml.ers@mail1.stofanet.dk> <KMLDenmark@netscape.net>
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
-Software - For Theological Education - And For Physically Impaired
-Do it The Nisus Way - Nisus Writer, The Best Text Processor in The World
-Nisus Email, A Revolution In Emailing - Visit: <http://www.nisus.com>
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

---

In article <3CC437CE.F74A16B4@mail1.stofanet.dk>,
Erik Richard Sørensen <kml.ers@mail1.stofanet.dk> wrote:

> Eller, hvis du har VPC til netbank, så kan du have fået den ind ad
> den vej. Det er faktisk set før også her i gruppen. Jeg tror, det var
> sidste år, der var én, der havde fået en tilsvarende virustype via
> VPC.

det blev vist aldrig afklaret...

--
Venlig hilsen Morten Reippuert Knudsen... <icq:131382336>

Lejlighed søges i KBH Besides, if you can't get a decent
kernal panic or two in a month, what's the point of living?

---

In article <3CC437CE.F74A16B4@mail1.stofanet.dk>,
Erik Richard Sørensen <kml.ers@mail1.stofanet.dk> wrote:


> Jeg tror, du skal se at få fjernet alle .eml filerne og så få checket dine
> andre
> maskiner i netværket, om der er noget dér også.

Det vil jeg få gjort snarest.

> Jeg véd udmærket godt, at jeg har nogle 'huller' i det, jeg har skrevet, og
> jeg
> tror heller ikke det er nødvendigt at hverken slette disk eller omformattere.
> Jeg har haft en forespørgsel ude hos et par stykker, og de har givet svar
> tilbage, at det meget vel kan være, at den er eksekveret på selve Mac'en, men
> at
> det i såfald kræver, at du har både MSIE og MSOE og/eller Entourage. Den vil
> ikke være eksekverbar gennem nogen former for Netscape til hverken klassisk
> OS
> eller OS X. En af dem siger også, at den højst sandsynlig er eksekveret på en
> PC
> og så overført .eml filerne via dit netværk.

Jeg tror også filerne er kommet via netværket og at Entourage's "crash"
var et tilfælde. Det store spørgsmål er bare, om det filerne kommer fra
en inficeret fremmed, som har været koblet på min maskine via Dave.

--
Mvh.
René Frej Nielsen

---

Det er ikke så kompliceret. Din pc er inficeret - ikke din mac. Læs dette:
<http://service4.symantec.com/SUPPORT/num.nsf/docid/2001092016473811>

Og glem alle fablerier om usikkerhed i ms-produkter til mac. Det har
absolut intet med sagen at gøre.
..eml filerne kan absolut heller ikke dublerer sig selv på din mac (de kan
slet ikke eksekveres).
Men du skal have kørt antivirus på din pc, og så skal du have ryddet op på
mac'en. Her er en reformatering måske nok en god idé.

Mvh Ben

---

In article <fc.0073fb6b041045b53b9aca00200704eb.41046bb@net.dialog.dk>,
"Ben Knudsen" <ben@net.dialog.dk> wrote:

> Det er ikke så kompliceret. Din pc er inficeret - ikke din mac. Læs dette:
> <http://service4.symantec.com/SUPPORT/num.nsf/docid/2001092016473811>
>
> Og glem alle fablerier om usikkerhed i ms-produkter til mac. Det har
> absolut intet med sagen at gøre.
> .eml filerne kan absolut heller ikke dublerer sig selv på din mac (de kan
> slet ikke eksekveres).

Det var også sådan jeg havde forestillet mig det hang sammen.

> Men du skal have kørt antivirus på din pc, og så skal du have ryddet op på
> mac'en. Her er en reformatering måske nok en god idé.

Jeg tror nu jeg nøjes med at slette filerne. De har jo ikke gjort nogen
skade.

Det jeg var mest interesseret i at vide, var om der har været en fremmed
koblet på min maskine eller om det er en maskine fra mit LAN, som har
inficeret Mac'en. Jeg skal have tjekket min PC'er, men da den er nyligt
formateret og ikke indeholder mails af nogen art, tror jeg ikke det
stammer fra den. Det kan dog godt være en af mine kameraters maskiner...

--
Mvh.
René Frej Nielsen

---

rfn@mac.com writes:
>2. Min egen eller en af mine kammeraters PC'ere kan være inficeret. Det
>har jeg ikke fået tjekket endnu.

Sandsynligvis årsagen, nimda spreder sig også via lokalnetværk.
>
>
>Mens jeg har siddet og rodet med dette har jeg åbnet for Console.app i
>OS X, da jeg ville prøvet at finde relevante data her, men det kunne jeg
>ikke. Jeg opdagede dog, at den jævnligt udspyede ganske nyttesløse data
>som dette:
>
>****
>Do you want me to sit in the corner and rust, or just fall apart where
>I'm standing?
>Wearly I sit here, pain and misery my only companions.
>My capacity for happiness, you could fit it into a matchbox without
>taking out the matches first.
>I'm not getting you down at all, am I?
>Would you like me to go and stick my head in a bucket of water?
>Funny, how just when you think life can't possibly get any worse it
>suddenly does.
>Wearly I sit here, pain and misery my only companions.
>Funny, how just when you think life can't possibly get any worse it
>suddenly does.
>Do you want me to sit in the corner and rust, or just fall apart where
>I'm standing?
>Ha, but my life is a box of wormgears.
>Funny, how just when you think life can't possibly get any worse it
>suddenly does.
>****

Du er nu blevet introduceret til Hitchhiker's Guide to the Galaxy, kan du
så se at få læst resten i stedet for at fumle rundt i Sverige.


MVH
Martin/IT

---

Uha, jeg sidder her og bliver helt bange... er på et netværk med DAVE og
omkring 400 Windows-maskiner. Er der nogen, der kan anbefale et freeware
(eller billigt shareware) anti-virus-program?

Venlig hilsen Mikkel

In article <fc.0073fb6b0410520c3b9aca00200704eb.41052d7@net.dialog.dk>,
"Martin Edlich /LO" <med@lo.dk> wrote:

> rfn@mac.com writes:
> >2. Min egen eller en af mine kammeraters PC'ere kan være inficeret. Det
> >har jeg ikke fået tjekket endnu.
>
> Sandsynligvis årsagen, nimda spreder sig også via lokalnetværk.
> >
> >
> >Mens jeg har siddet og rodet med dette har jeg åbnet for Console.app i
> >OS X, da jeg ville prøvet at finde relevante data her, men det kunne jeg
> >ikke. Jeg opdagede dog, at den jævnligt udspyede ganske nyttesløse data
> >som dette:
> >
> >****
> >Do you want me to sit in the corner and rust, or just fall apart where
> >I'm standing?
> >Wearly I sit here, pain and misery my only companions.
> >My capacity for happiness, you could fit it into a matchbox without
> >taking out the matches first.
> >I'm not getting you down at all, am I?
> >Would you like me to go and stick my head in a bucket of water?
> >Funny, how just when you think life can't possibly get any worse it
> >suddenly does.
> >Wearly I sit here, pain and misery my only companions.
> >Funny, how just when you think life can't possibly get any worse it
> >suddenly does.
> >Do you want me to sit in the corner and rust, or just fall apart where
> >I'm standing?
> >Ha, but my life is a box of wormgears.
> >Funny, how just when you think life can't possibly get any worse it
> >suddenly does.
> >****
>
> Du er nu blevet introduceret til Hitchhiker's Guide to the Galaxy, kan du
> så se at få læst resten i stedet for at fumle rundt i Sverige.
>
>
> MVH
> Martin/IT
>

---

In article <mpagh-AD94CE.15541922042002@news.net.uni-c.dk>,
Mikkel Pagh <mpagh@NOSPAMimv.au.dk> wrote:

> Uha, jeg sidder her og bliver helt bange... er på et netværk med DAVE og
> omkring 400 Windows-maskiner.

der er ikke noget at være bange for mht. mac'en, idet viraen kun kan
ende på et mac share, men ikke kan forette skade på mac'en.

> Er der nogen, der kan anbefale et freeware (eller billigt shareware)
> anti-virus-program?

nej, der er i store træk kun norton antivirus og mcaffe virex. Begge er
komerciel software.

--
Venlig hilsen Morten Reippuert Knudsen... <icq:131382336>

Lejlighed søges i KBH Besides, if you can't get a decent
kernal panic or two in a month, what's the point of living?

---

Hej Mikkel

Både uha ja og uha nej..-) Nimda kan ikke normalt ødelægge noget på en Mac,
men den kan sprede sig og fylde op via netværket.

Der findes svjv. ikke noget hverken share- eller freeware program, der kan
aflive / eller forhindre Nimda i at sprede sig.

Men jeg vil anbefale dig at gå til www.nai.com og tilmelde dig som
evaluator/betatester, så kan du downloade nyeste version af Virex 6.1.4xxx -
og vist nok også ver. 7, - og det eneste, du så bliver bedt om engang imellem
er, at du giver feedback på, hvordan du opfatter og bruger programmet.

Mikkel Pagh wrote:

> Uha, jeg sidder her og bliver helt bange... er på et netværk med DAVE og
> omkring 400 Windows-maskiner. Er der nogen, der kan anbefale et freeware
> (eller billigt shareware) anti-virus-program?

mvh. Erik Richard

--
K.M.L. Denmark by Erik Richard Sørensen, Member of ADC
Edwin Rahrsvej 20.3.03, DK-8220 Brabrand, Denmark
Phone: (+45) 8625 0963, & (+45) 4082 6109,
E-mail: <kml.ers@mail1.stofanet.dk> <KMLDenmark@netscape.net>
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
- Software - For Theological Education - And For Physically Impaired
- Do it The Nisus Way - Nisus Writer, The Best Text Processor in The World
- Nisus Email, A Revolution In Emailing - Visit: <http://www.nisus.com>
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

---

In article <3CC54F71.92D0D8A8@mail1.stofanet.dk>,
Erik Richard Sørensen <kml.ers@mail1.stofanet.dk> wrote:

> Men jeg vil anbefale dig at gå til www.nai.com og tilmelde dig som
> evaluator/betatester, så kan du downloade nyeste version af Virex 6.1.4xxx -
> og vist nok også ver. 7, - og det eneste, du så bliver bedt om engang imellem
> er, at du giver feedback på, hvordan du opfatter og bruger programmet.

Virex 7 er ikke mere i beta, men er kun tilgængelig for "corporate
users". Har kun kigget kortvarigt på den, da OS X på arbejdspladsen
stadig er på eksperimentalstadiet (skal lige have serverne op på Win2000
i løbet af sommeren først). Men da Virex 7 kan anvende DAT-filer fra
VirusScan til Windows skal det nok få paranoiaen til at eskalere.

--
Med venlig hilsen
Thomas Tvegaard

---

Thomas Tvegaard <tvegaard@mac.com> wrote:

> Virex 7 er ikke mere i beta, men er kun tilgængelig for "corporate
> users".

Det er da snart et halvt år siden, jeg fik den sendt på cd. Jeg er da
vist ikke ligefrem en "corporate user".
--
Med venlig hilsen
Henrik Münster
Esbjerg

---

In article <1fb4538.1sixpaan1asg0N%muenster@mac.com>,
muenster@mac.com (Henrik Münster) wrote:

> Det er da snart et halvt år siden, jeg fik den sendt på cd. Jeg er da
> vist ikke ligefrem en "corporate user".

Man bliver nok lidt indavlet af have adgang til den "lukkede afdeling"
hos NAI, så det kniber med realitetssansen...

--
Med venlig hilsen
Thomas Tvegaard

---

In article <fc.0073fb6b0410520c3b9aca00200704eb.41052d7@net.dialog.dk>,
"Martin Edlich /LO" <med@lo.dk> wrote:

> rfn@mac.com writes:
> >2. Min egen eller en af mine kammeraters PC'ere kan være inficeret. Det
> >har jeg ikke fået tjekket endnu.
>
> Sandsynligvis årsagen, nimda spreder sig også via lokalnetværk.

Sikke noget bøvl. Jeg vender lige tilbage mht. om nogen af maskinerne på
LAN'et er inficeret. Jeg håber faktisk at det forholder sig sådan, for
så har der ikke været en fremmed inde på min maskine.

Jeg er bare ret sikker på, at filen på mit skrivebord ikke var der inden
jeg tog afsted til Sverige...

> Du er nu blevet introduceret til Hitchhiker's Guide to the Galaxy, kan du
> så se at få læst resten i stedet for at fumle rundt i Sverige.

Det fandt jeg sådan set ud af på Google, men hvorfor dælen kommer disse
citater frem i konsollen?

--
Mvh.
René Frej Nielsen

---

In article <rfn-F9FA3D.22492122042002@sunsite.dk>,
René Frej Nielsen <rfn@mac.com> wrote:

> Det fandt jeg sådan set ud af på Google, men hvorfor dælen kommer disse
> citater frem i konsollen?

Tror du ikke bare der ligger en tekstfil det "rigtige" sted?

--
MVH Martin Edlich, Magister Mundi sum! http://www.edlich.dk
Henvendelser til min e-mail adresse vil blive betragtet som et ønske
om at betale for support, hvilket takseres med 800 kr/time.
(medmindre jeg selv er ude om det, og det er Off Topic).

---

In article <newsspam4-5863C9.03243823042002@dtext.news.tele.dk>,
Martin Edlich <newsspam4@mail.edlich.dk> wrote:

> In article <rfn-F9FA3D.22492122042002@sunsite.dk>,
> René Frej Nielsen <rfn@mac.com> wrote:
>
> > Det fandt jeg sådan set ud af på Google, men hvorfor dælen kommer disse
> > citater frem i konsollen?
>
> Tror du ikke bare der ligger en tekstfil det "rigtige" sted?

Måske, men det virker da underligt at fylde log'en op med den slags...

--
Mvh.
René Frej Nielsen

---

René Frej Nielsen <rfn@mac.com> wrote:

> Måske, men det virker da underligt at fylde log'en op med den slags...

Det virker også en tand underligt at starte med at skrive en virus, som
spreder sig til alverdens webservere.

--
Mvh/re Jan Jonasen
jonasen (at) it (dot) dk

If I wanted culture, I'd eat yogurt. Ikke kun Tuborg har noget i gære.

---

In article <1fb5sld.1htwgst1e1k9xcN%jonasenREMOVE@THISit.dk>,
jonasenREMOVE@THISit.dk (Jan Oksfeldt Jonasen) wrote:

> René Frej Nielsen <rfn@mac.com> wrote:
>
> > Måske, men det virker da underligt at fylde log'en op med den slags...
>
> Det virker også en tand underligt at starte med at skrive en virus, som
> spreder sig til alverdens webservere.

Måske er jeg bare træt, men jeg kan ikke se pointen i det du skriver...
Mener du, at det er en virus, som skrive de ting i min log?

--
Mvh.
René Frej Nielsen

---

René Frej Nielsen <rfn@mac.com> wrote:

> Måske er jeg bare træt, men jeg kan ikke se pointen i det du skriver...
> Mener du, at det er en virus, som skrive de ting i min log?

Nej, jeg mener at det i forvejen er en lidt underlig person, som sætter
sig ned med det ene formål at skrive et stykke software, som kan genere
andre. I dette tilfælde til angreb på din webserver.

--
Mvh/re Jan Jonasen
jonasen (at) it (dot) dk

If I wanted culture, I'd eat yogurt. Ikke kun Tuborg har noget i gære.

---

jonasenREMOVE@THISit.dk (Jan Oksfeldt Jonasen) writes:

> Nej, jeg mener at det i forvejen er en lidt underlig person, som sætter
> sig ned med det ene formål at skrive et stykke software, som kan genere
> andre. I dette tilfælde til angreb på din webserver.

Indenfor visse kredse giver dette prestige og aere.

Meget som med grafittimalere.

--
Thorbjørn Ravn Andersen
http://homepage.mac.com/ravn

---

René Frej Nielsen wrote:
> In article <fc.0073fb6b0410520c3b9aca00200704eb.41052d7@net.dialog.dk>,
> "Martin Edlich /LO" <med@lo.dk> wrote:
>>Du er nu blevet introduceret til Hitchhiker's Guide to the Galaxy, kan du
>>så se at få læst resten i stedet for at fumle rundt i Sverige.
> Det fandt jeg sådan set ud af på Google, men hvorfor dælen kommer disse
> citater frem i konsollen?

Don't panic! :)

Det er tilsyneladende Logitechs beta-musedriver (eller rettere
/Library/Application
Support/Logitech/Logitech Control Center Daemon.app) der spyr tekst til
konsollen. En hurtig "grep -Hr Wearly /" (ok, måske ikke så hurtig:)
fandt /Library/Application
Support/Logitech/Logitech Control Center
Daemon.app/Contents/Resources/Marvin/marvin.plist, hvor alle Hitchhiker
citaterne står. Logitech Control Center Daemon.app synes at være
vigtig, når man skal konfigurere musen - jeg har prøvet at dø processen,
men det var ikke nogen videre god idé: Ingen katastrofer, men jeg kunne
ikke konfigurere mere før jeg genstartede den. Det er sikkert en sjov
programmør, der havde brug for at vide, om dæmonen levede, og det gjorde
han ved at sende små Marvin citater til konsollen med regelmæssige
mellemrum. Han burde dog have puttet en lille afsenderadresse på, så
man ikke som bruger bliver paranoid!


-mf


--
-mf = Michael Florentin Nielsen = erik@it.edu

---

Michael Florentin Nielsen <florentin@mac.com> wrote:

> Don't panic! :)
>
> Det er tilsyneladende Logitechs beta-musedriver (eller rettere
> /Library/Application Support/Logitech/Logitech Control Center Daemon.app)
> der spyr tekst til konsollen

Godt set. Da man selv besider en logitech mus tyer man straks til sin
log for at se, og sandelig ikke om den er fyldt med Marvin citater.

"Pardon me for breathing, which I never do any way so I don't know why I
bother to say it, oh God, I'm so depressed."

"Funny, how just when you think life can't possibly get any worse it
suddenly does."

"My capacity for happiness, you could fit it into a matchbox without
taking out the matches first."

Deprimerende læsning og man kunne forledes til at tro at ens Mac ikke
har det for godt!
--
Michael Tysk-Andersen

---

In article <3CC7B7C4.9050700@mac.com>,
Michael Florentin Nielsen <florentin@mac.com> wrote:

> Don't panic! :)
>
> Det er tilsyneladende Logitechs beta-musedriver (eller rettere
> /Library/Application
> Support/Logitech/Logitech Control Center Daemon.app) der spyr tekst til
> konsollen. En hurtig "grep -Hr Wearly /" (ok, måske ikke så hurtig:)
> fandt /Library/Application
> Support/Logitech/Logitech Control Center
> Daemon.app/Contents/Resources/Marvin/marvin.plist, hvor alle Hitchhiker
> citaterne står. Logitech Control Center Daemon.app synes at være
> vigtig, når man skal konfigurere musen - jeg har prøvet at dø processen,
> men det var ikke nogen videre god idé: Ingen katastrofer, men jeg kunne
> ikke konfigurere mere før jeg genstartede den. Det er sikkert en sjov
> programmør, der havde brug for at vide, om dæmonen levede, og det gjorde
> han ved at sende små Marvin citater til konsollen med regelmæssige
> mellemrum. Han burde dog have puttet en lille afsenderadresse på, så
> man ikke som bruger bliver paranoid!

Det er godt fundet! Så jeg kan jeg altså godt afskrive virus her på
maskinen... Der er vel heller ikke nogen OS X vira ude endnu?

Jeg har dog stadig ikke opklaret, hvor alle Nimbda-filerne kommer fra...

--
Mvh.
René Frej Nielsen