Nowy wirus atakuje sieć
Nimda - pod tą niepozorną nazwą ukrywa się najnowszy wirus komputerowy, który od poniedziałku atakuje pocztę elektroniczną. O jego pojawieniu się poinformował na konferencji prasowej prokurator generalny USA John Ashcroft.
Według niego ten wirus może być jeszcze bardziej niebezpieczny niż jego poprzednik Code Red. Robak rozpowszechnia się, podczepiając się do listów elektronicznych, w załącznikach readme.exe. Oprócz tego potrafi też zaatakować strony internetowe, co odróżnia go od poprzedników i czyni szczególnie "drapieżnym".
Ashcroft zaprzeczył sugestiom, że nowy wirus to ciąg dalszy zamachów terrorystycznych, które dotknęły USA w ubiegłym tygodniu.
Tym razem nie ma żadnych dowodów łączących ten wirus z atakami terrorystycznymi - powiedział prokurator cytowany przez agencję AP. Nazwa robaka to gra słów, czytając ją wspak wychodzi wyraz "admin", czyli slangowe określenie osoby zarządzającej systemami komputerowymi.
Nimda jest robakiem internetowym, którego działanie polega na rozsyłaniu się pocztą elektroniczną oraz poprzez błędy w serwerze IIS. Do infekcji tym robakiem wystarczy przeczytanie wiadomości w niezabezpieczonym programie Microsoft Outlook lub Outlook Express.
Zwykle robak pojawia się w komputerze ofiary w postaci listu elektronicznego o pustej treści, bardzo długim niezrozumiałym temacie oraz z plikiem załącznika o nazwie readme.exe. Korzystając z błędu w oprogramowaniu klientów pocztowych MS Outlook i Outlook Express, do aktywacji robak wymaga jedynie podglądu (przeczytania treści) wiadmości w tych programach. Infekcja następuje nawet bez uruchomienia przez użytkownika pliku załącznika.
Po aktywacji robak tworzy własne kopie w katalogu systemu Windows w pliku load.exe oraz nadpisuje plik riched20.dll. Pierwszy plik jest uruchamiany przy każdym starcie systemu Windows poprzez wpis w pliku system.ini. Wpis ten ma następującą składnię: shell=explorer.exe load.exe -dontrunold. Natomiast plik riched20.dll jest uruchamiany przy każdym uruchomieniu programu otwierającego plik typu RTF.
Następnie robak wysyła się do adresatów, których adresy poczty elektronicznej pobiera z listów znajdujących się w programie pocztowym. Dodatkowo adresy pobierane są również z plików z rozszerzeniami htm i html znajdujących się na dysku lokalnym. Tak uzyskane adresy są wstawiane zarówno w polu From: i To: zatem listy z robakiem w polu nadawcy nie zawierają pradziwego adresu nadawcy.
Alternatywna metoda infekcji to korzystanie z błędu w oprogramowaniu IIS zwanego Unicode Web Traversal, używanego również wcześniej przez robaka BlueCode.
Dodatkowo robak infekuje wszystkie pliki z rozszerzeniem exe oraz nadpisuje pliki z rozszerzeniami eml i nws własną kopią, w katalogach lokalnych, które są udostępnione.
Wirus po raz pierwszy odkryto we wtorek w USA, a następnie szybko pojawił się w Japonii i innych krajach azjatyckich. Japoński magazyn internetowy "Scan Security Wire" podał, że wirus zaatakował wiele firm w tym kraju, m.in. japoński oddział Microsoftu. (mag, mk, aso)