19 сентября 2001 г.
Антивирусные компании предупреждают об эпидемии Интернет-червя Nimda, поражающего серверы и пользовательские ПК.
Новый червь распространяется через электронную почту в виде письма, содержащего вложенный файл readme.exe. Код Nimda выполняется автоматически, если в Outlook установлена опция предварительного просмотра письма, а в настройках Web-браузера Internet Explorer указан средний уровень безопасности. После запуска червь рассылает себя по адресам, содержащимся в адресной книге почтового клиента Microsoft Outlook.
Серверная составляющая кода использует брешь в безопасности IIS, известную как Unicode Directory Traversal. Программа-"заплатка" для этой "дыры" выпущена компанией Microsoft уже достаточно давно. Подобно вирусу Code Red, инфицировав одну машину, Nimda продолжает сканировать Сеть в поисках других незащищенных серверов.
Кроме того, по данным специалистов компании MessageLabs, новый вирус способен распространяться через чат IRC и по протоколу FTP. Эксперты нашли в коде вируса FTP-составляющую, однако еще до конца не изучили механизм ее работы.
Большинство перехваченных антивирусными фирмами копий Nimda были отосланы из США. Некоторые СМИ усмотрели в названии червя связь с израильским оборонным предприятием NIMDA. Другие полагают, что "Nimda" это просто написанное наоборот слово "Admin".
Скорость распространения вируса весьма высока. За первые несколько часов с момента появления Nimda его жертвами стали более 11 тыс. ПК и серверов. Для борьбы с ним эксперты рекомендуют установить на ПК и серверы все существующие "заплаты" для ПО Microsoft Outlook, Internet Explorer и ISS. Они доступны для загрузки с Web-сайта Microsoft, одна из страниц которого посвящена защите от Nimda. Кроме того, на Web-сайте антивирусной компании Panda Software доступно бесплатное онлайновое средство ActiveScan, позволяющее обнаружить и обезвредить этот вирус.
|