Groźniejszy niż Sircam i Code Red

W Internecie pojawiło się nowe zagrożenie - od wtorku komputery na całym świecie atakuje wirus Nimda. Do tej pory zainfekował dziesiątki tysięcy systemów.

W Internecie pojawiło się nowe zagrożenie - od kilku dni komputery na całym świecie infekuje wirus Nimda. Robak rozprzestrzenia się błyskawicznie: "złapać" można go w czasie przeglądania poczty elektronicznej, stron WWW oraz zasobów sieci lokalnych. Do tej pory zainfekował dziesiątki tysięcy komputerów.

To właśnie wiele różnych sposobów dystrybucji wirusa jest główną przyczyną zagrożenia. Użytkowników programów pocztowych Microsoft Outlook oraz Outlook Express przed zainfekowaniem nie ochronią nawet "standardowe" środki bezpieczeństwa (czyli nie otwieranie podejrzanych załączników). Robak potrafi zainfekować komputer, nawet jeżeli załączony do listu plik nie zostanie uruchomiony - wystarczy przeczytać feralną wiadomość. Po zainfekowaniu robak zaczyna rozsyłać swoje kopie do wszystkich adresatów, których znajdzie w książce adresowej programu pocztowego.

<b>Groźniejszy niż Sircam i Code Red</b>

"To zupełnie nowy robak. Jest bardzo skomplikowany i niebezpieczny - moim zdaniem jest groźniejszy niż Code Red oraz Sircam razem wzięte" -mówi Steven Sundermeier, przedstawiciel firmy Central Command.

Nowy robak zaatakował już dziesiątki tysięcy komputerów - wynika z danych CERT/CC (Computer Emergency Response Team Coordination Center). Wiele komputerów zostało również zainfekowanych w Polsce: "Trudno oceniać jaka to liczba, wiadomo jednak, że niebagatelna. Pierwsze przypadki zanotowaliśmy już we wtorek. Robak jest niezwykle skomplikowany - przyznam, że jeszcze nie zetknąłem się z tak skomplikowanym mechanizmem rozpowszechniania się wirusa. Myślę, że Nimda może z czasem spowodować straty porównywalne ze stratami spowodowanymi przez robaka Code Red (oszacowano je na ponad 2,6 mld USD - red.). To naprawdę groźny robak" - ostrzega Przemysław Jaroszewski z CERT Polska.

Na szczęście Nimda, mimo zaawansowanego systemu dystrybucji, nie powoduje żadnych zniszczeń. "Z naszych dotychczasowych ustaleń wynika, że robak nie ma żadnego działania destrukcyjnego - nie kasuje plików. Wydaje się, że jego funkcjonowanie ogranicza się do rozsyłania tysięcy swoich kopii i infekowania coraz to nowych komputerów" - mówi Chad Dougherty, analityk CERT/CC. Niektórzy eksperci twierdzą jednak, że Nimda może działać podobnie jak Code Red - tzn. zostawiać lukę w zainfekowanym systemie, tak, by później mieli do niego dostęp hakerzy. Robak dość wyraźnie spowalnia również pracę zaatakowanego komputera, to zaś może prowadzić do zawieszania się systemu. Robak powoduje też znaczne zwiększenie "ruchu" w sieci - to sprawia, że niektóre serwisy nie radzą sobie z ilością nadsyłanych danych i ich serwery zawieszają się.

<b>To nie terroryści</b>

Krótko po odkryciu robaka Nimda pojawiły się spekulacje, że jego zmasowany atak na internautów może mieć związek z aktami terroru, do których doszło w ubiegłym tygodniu na terenie USA. Taką ewentualność wykluczył jednak oficjalnie prokurator generalny USA - John Ashcroft. Zapowiedział on jednak, że w tej sprawie zostanie przeprowadzone śledztwo.

Nimda infekuje komputery wykorzystujące systemy operacyjne Windows. Robak wykorzystuje luki w programach Microsoftu: Internet Explorer, Outlook Express, Outlook oraz Microsoft IIS. Szczególnie narażone na jego ataki są maszyny, które wcześniej zainfekował Code Red (ponieważ robak ten tworzy w systemie dodatkowe luki, umożliwiające kolejne ataki.)

"Złożoność działania jest tym, co różni Nimda od innych, podobnych robaków. To również czyni go znacznie groźniejszym" - tłumaczy Chad Dougherty z CERT/CC.

Nimda (czyli "admin" czytane od końca) znany jest również jako W32.Nimda.A@mm. Do skrzynki pocztowej przychodzi jako e-mail o długim tytule (z reguły jest to nic nie znaczący ciąg znaków), bez treści, ale za to z załącznikiem (o nazwie readme.exe). Załącznika tego nie trzeba jednak uruchamiać - luka w programach pocztowych Microsoftu sprawia, że robak aktywuje się już w czasie czytania feralnej wiadomości. Najprostszym sposobem zabezpieczenia się przed "złapaniem" robaka tą drogą jest więc usuwanie podejrzanych wiadomości oraz wyłączenie podglądu zawartości poczty w programach Outlook Express, Outlook.

<b>16 dróg infekcji</b>

Takie środki ostrożności mogą jednak nie wystarczyć, by ochronić się przed Nimda - eksperci z firmy McAfee naliczyli aż 16 sposobów rozpowszechniania się robaka. Może on m.in. "podszyć" się pod dowolny plik na zainfekowanym serwerze, tak, by zostać pobranym przez internautów; potrafi również rozpowszechniać się w ramach sieci lokalnych. Nimda tworzy w niej dodatkowego użytkownika (Gościa) oraz udostępnia dysk C: zainfekowanego komputera.

Zdaniem przedstawicieli firm produkujących oprogramowanie antywirusowe, stosunkowo łatwo można jednak uchronić się przed działaniem Nimda. Warunkiem jest jednak zaopatrzenie się w najnowsze uaktualnienia do programów antywirusowych (które na razie jedynie wykrywają robaka - nie są jednak w stanie go usunąć) oraz jak najszybsze usunięcie luk w oprogramowaniu firmy Microsoft. Firma umieściła już na swojej witrynie dokładne informacje, mające pomóc w zabezpieczeniu się przed robakiem Nimda. Znaleźć je można pod adresem: www.microsoft.com/technet/treeview/default.asp?url=/technet/security/topics/Nimda.asp