Многие организации, подвергшиеся атаке Nimda, были вынуждены временно отказаться от выхода в Internet |
Новый вид быстро распространяющегося сложного компьютерного «червя», получившего название Nimda, представляет настолько серьезную угрозу, что некоторые специалисты рекомендуют организациям и индивидуальным пользователям временно отказаться от выхода в Internet, по крайней мере до тех пор, пока природа Nimda не будет детально изучена.
В первую очередь это предупреждение относится к тем, кто уже инфицирован.
Nimda (образованное обратной перестановкой букв в слове «admin») — червь, которого до сих пор изучают эксперты по антивирусному программному обеспечению, считающие, что он представляет собой аналогичный Code Red инструментарий для организации распределенных атак типа «отказ в обслуживании» (DoS — denial of service). Поскольку он распространяется по крайней мере тремя способами (по электронной почте, через разделяемые файлы локальной сети и через зараженные Web-сайты), специалисты по антивирусной защите считают, что необходимы самые серьезные меры предосторожности.
«Nimda использует несколько методов распространения, — сказал Ян Хамерофф, менеджер компании Computer Associates по системам защиты. — Возможно, что для борьбы с такого рода вирусами необходимо ввести карантин».
Представитель Microsoft заявил, что его компания обнаружила червя, но пока о нем известно очень немногое. Он подтвердил, что от вируса уже пострадало много пользователей продуктов компании.
Шарон Рукмен из компании Symantec также считает, что компаниям, которые уже инфицированы, было бы разумно пока отказаться от работы в Internet.
Nimda может проникнуть на компьютер по электронной почте в виде зараженного письма в HTML-формате с внедренным исполняемым файлом readme.exe. При просмотре письма этот файл автоматически запускается без ведома пользователя. Для этого Nimda использует ошибку в Internet Explorer версии 5.0 и 5.1. Этот дефект был обнаружен еще в марте и исправлен Microsoft с помощью выпущенной 29 марта специальной заплатки, подробно описанной в бюллетене Microsoft MS01-020.
В коде червя можно обнаружить авторскую сигнатуру, которая никогда не выводится на экран |
Проникнув на компьютер, Nimda начинает сканировать intranet или Internet через Port 80 в поисках серверов Microsoft Internet Information Server с целью организовать на них DoS-атаки. По словам Русса Купера, редактора списка рассылки NTbugtrak, вирус загружает на инфицируемую машину программу admin.dll размером 56 Кбайт. Следует иметь в виду, что размер «добропорядочных» файлов admin.dll, как правило, не превышает 20 Кбайт.
По мнению Рукмана, Nimda представляет собой инструментарий для организации DoS-атаки, аналогичный Code Red. За последние два месяца Code Red поразил тысячи IIS-серверов, а DoS-атаки вызвали серьезную перегрузку в сетях. Microsoft уже давно подготовила программную заплатку, ликвидирующую изъян, связанный с переполнением буфера, который использовался червем Code Red, но стало ясно, что многие организации так и не установили эту заплатку. Специалисты подчеркивают, что ее следует установить всем организациям, использующим IIS.
Уязвимые места, обнаруженные червем в IIS 4.0 и 5.0, ликвидируются с помощью недавно опубликованной заплатки IIS, которую можно найти в бюллетене MS01-044.
Nimda также пытается проникнуть на серверы IIS, используя не только известную ошибку, связанную с переполнением буфера, но и, возможно, за счет ряда других дефектов.
Проникнув на Web-сервер, Nimda обращается к нему с тем, чтобы изменить его Web-страницы, внедрив в них вредоносный код на языке JavaScript. Когда пользователь пытается загрузить эту Web-страницу, скрипт заражает и его.
Кроме того, Nimda может проникнуть на компьютер пользователя и по локальной сети, в которой используется механизм разделения файлов. Такое решение, как правило, применяется для того, чтобы дать пользователям внутри организации возможность пересылать файлы напрямую друг другу, минуя сервер локальной сети.
В Microsoft подчеркивают, что возможность разделения файлов в исходной конфигурации ОС Windows всегда отключена, поэтому если эта функция не была специально активизирована, то с этой стороны пользователям ничего не угрожает.
Учитывая, что Nimda одновременно выполняет множество сценариев для того, чтобы произвести атаку, специалисты советуют применять для борьбы с ним самые разные средства защиты, в том числе антивирусное ПО, фильтрование исполняемых присоединенных файлов на шлюзе и даже ограничение выхода в Internet.