В Сети появился новый очень опасный сетевой червь, которому дали имя Nimda. В первый же день эпидемии, по данным “ДиалогНауки” и “Лаборатории Касперского”, только в российском сегменте Всемирной паутины были поражены тысячи компьютеров (в том числе и в фирмах, чьи корпоративные почтовые серверы были защищены новейшими антивирусными фильтрами).
К чести отечественных антивирусников, соответствующие противоядия были разработаны менее чем за сутки и включены в фирменные базы данных.
Для защиты от Nimda настоятельно рекомендуется использовать не только новейшие версии антивирусных программ, но и последние обновления средств обеспечения безопасности для ОС Windows, Microsoft Outlook Express, Internet Explorer, Internet Information Services (IIS). Также рекомендуется назначать максимальный уровень безопасности при работе с Internet Explorer.
Для атаки на IIS-серверы новый вирус использует “дырки” Microsoft IIS CGI Filename Decode Error Vulnerability (дата обнаружения — май 2001 г.) и Microsoft IIS Unicode Bug (декабрь 2000 г.), а также пытается воспользоваться последствиями компрометации серверов червями CodeRedII и sadmind/IIS.
Червь открывает все диски, установленные на зараженных компьютерах для полного доступа. Таким образом, любой злоумышленник способен удалить, изменить, скопировать, просмотреть любые документы на данном компьютере. Это может привести к утечке, потере и несанкционированной модификации важной конфиденциальной информации.
Одна из неприятных особенностей вируса, затрудняющая ликвидацию последствий эпидемии, состоит в том, что он создает собственную копию с именем RICHED20.DLL.
Эта библиотека используется многими приложениями (в том числе Outlook и MS Office), при запуске электронной почты или попытке открытия любого файла вместо нее будет запущена копия вируса. Так как в процессе лечения библиотека RICHED20.DLL не восстанавливается, то ее рекомендуется переписать из дистрибутива или взять со “здоровой” машины.
Рассылаемые вирусом копии представляют собой специально подготовленное текстовое HTML-сообщение с прикрепленным файлом readme.exe. Обычно размер файла — 57 344 байта, однако в случае, если вирус стартовал из инфицированного файла и не смог очистить свою секцию ресурсов от оригинального содержимого инфицированной программы, размер файла может быть больше.
Данное сообщение составлено таким образом, чтобы при его просмотре средствами Internet Explorer, а также программами, использующими Internet Explorer для просмотра html-образов (MS Outlook, MS Outlook Express), прикрепленный файл запускался автоматически.
Nimda представляет большую опасность: он способен размножаться различными способами и повторно атаковать оставшиеся уязвимыми системы даже после их излечения. Поэтому настоятельно рекомендуется установить последние обновления средств защиты ОС Windows, которые можно найти на сайтах: www.microsoft.com/technet/security/bulletin/MS01-044.asp (кумулятивный патч для IIS-серверов) и www.microsoft.com/technet/security/bulletin/MS01-020.asp (патч от уязвимости почтовых клиентов Incorrect MIME header).