=======================================================================

  Message du CERT-RENATER (certsvp@renater.fr)

=======================================================================


Bonjour,

Un nouveau ver/virus est apparu tres recemment: W32/NIMDA.
A priori ce serait la cause de la tres grosse augmentation du trafic
reseau a destination du port 80 (requetes vers des serveurs web).

NIMDA se propage au moyen de la messagerie electronique. Il arrive sous
la forme d'un document attache avec le nom 'README.EXE'.

Il est actuellement en cours d'analyse par la plupart des editeurs d'antivirus :

http://securityresponse.symantec.com/avcenter/venc/data/pf/w32.nimda.a@mm.html
http://vil.nai.com/vil/virusSummary.asp?virus_k=99209#VirusChar

La mise à jour d'AVP du 18/09/2001 permet la detection du virus.

Il est rapporte sur http://www.incidents.org que la connection a un serveur web
attaquant en utilisant un browser provoquerait une tentative de telechargement d'un
fichier readme.eml, que IE5 executerait de facon automatique.
Il est aussi specifie que le ver pourrait se propager via les partages reseaux en
utilisant le nom d'utilisateur guest sans mot de passe.

De nouvelles informations vous seront communiquees des que possible.

Cordialement,


======================================================================

        =========================================================
        Les serveurs de référence du CERT-Renater
        http://www.urec.fr/securite
        http://www.cru.fr/securite
        http://www.renater.fr 
        =========================================================
        + CERT-RENATER          | tel : 01-53-94-20-44          +
        + 151 bd de l'Hopital   | fax : 01-53-94-20-41          +
        + 75013 Paris           | email: certsvp@renater.fr     +
        =========================================================