Nowy wirus atakuje sieć

Nimda - pod tą niepozorną nazwą ukrywa się najnowszy wirus komputerowy, który od poniedziałku atakuje pocztę elektroniczną. O jego pojawieniu się poinformował na konferencji prasowej prokurator generalny USA John Ashcroft.

Według niego ten wirus może być jeszcze bardziej niebezpieczny niż jego poprzednik Code Red. Robak rozpowszechnia się, podczepiając się do listów elektronicznych, w załącznikach readme.exe. Oprócz tego potrafi też zaatakować strony internetowe, co odróżnia go od poprzedników i czyni szczególnie "drapieżnym".

Ashcroft zaprzeczył sugestiom, że nowy wirus to ciąg dalszy zamachów terrorystycznych, które dotknęły USA w ubiegłym tygodniu.

Tym razem nie ma żadnych dowodów łączących ten wirus z atakami terrorystycznymi - powiedział prokurator cytowany przez agencję AP. Nazwa robaka to gra słów, czytając ją wspak wychodzi wyraz "admin", czyli slangowe określenie osoby zarządzającej systemami komputerowymi.

Nimda jest robakiem internetowym, którego działanie polega na rozsyłaniu się pocztą elektroniczną oraz poprzez błędy w serwerze IIS. Do infekcji tym robakiem wystarczy przeczytanie wiadomości w niezabezpieczonym programie Microsoft Outlook lub Outlook Express.

Zwykle robak pojawia się w komputerze ofiary w postaci listu elektronicznego o pustej treści, bardzo długim niezrozumiałym temacie oraz z plikiem załącznika o nazwie readme.exe. Korzystając z błędu w oprogramowaniu klientów pocztowych MS Outlook i Outlook Express, do aktywacji robak wymaga jedynie podglądu (przeczytania treści) wiadmości w tych programach. Infekcja następuje nawet bez uruchomienia przez użytkownika pliku załącznika.

Po aktywacji robak tworzy własne kopie w katalogu systemu Windows w pliku load.exe oraz nadpisuje plik riched20.dll. Pierwszy plik jest uruchamiany przy każdym starcie systemu Windows poprzez wpis w pliku system.ini. Wpis ten ma następującą składnię: shell=explorer.exe load.exe -dontrunold. Natomiast plik riched20.dll jest uruchamiany przy każdym uruchomieniu programu otwierającego plik typu RTF.

Następnie robak wysyła się do adresatów, których adresy poczty elektronicznej pobiera z listów znajdujących się w programie pocztowym. Dodatkowo adresy pobierane są również z plików z rozszerzeniami htm i html znajdujących się na dysku lokalnym. Tak uzyskane adresy są wstawiane zarówno w polu From: i To: zatem listy z robakiem w polu nadawcy nie zawierają pradziwego adresu nadawcy.

Alternatywna metoda infekcji to korzystanie z błędu w oprogramowaniu IIS zwanego Unicode Web Traversal, używanego również wcześniej przez robaka BlueCode.

Dodatkowo robak infekuje wszystkie pliki z rozszerzeniem exe oraz nadpisuje pliki z rozszerzeniami eml i nws własną kopią, w katalogach lokalnych, które są udostępnione.

Wirus po raz pierwszy odkryto we wtorek w USA, a następnie szybko pojawił się w Japonii i innych krajach azjatyckich. Japoński magazyn internetowy "Scan Security Wire" podał, że wirus zaatakował wiele firm w tym kraju, m.in. japoński oddział Microsoftu. (mag, mk, aso)

Wybrane dla Ciebie
Kreml odmawia komentarza. Spotkanie Trump-Putin odwołane z powodu noty?
Kreml odmawia komentarza. Spotkanie Trump-Putin odwołane z powodu noty?
Rosyjski samolot nad Bałtykiem. Polska poderwała myśliwce
Rosyjski samolot nad Bałtykiem. Polska poderwała myśliwce
Pogoda szybko się zmieni. Jest najnowsza prognoza pogody
Pogoda szybko się zmieni. Jest najnowsza prognoza pogody
Koszty wyjazdu Hołowni do USA. Podano konkretne kwoty
Koszty wyjazdu Hołowni do USA. Podano konkretne kwoty
Prokuratura zabiera głos ws. zwłok 18-latka. Wiadomo, co po sekcji
Prokuratura zabiera głos ws. zwłok 18-latka. Wiadomo, co po sekcji
Śmiertelny wypadek na obwodnicy Brzegu. Nie żyje policjant
Śmiertelny wypadek na obwodnicy Brzegu. Nie żyje policjant
Dotarł wniosek do Zbigniewa Ziobry. To kluczowy etap
Dotarł wniosek do Zbigniewa Ziobry. To kluczowy etap
Bruksela nie odpuści. Chodzi o embargo na ukraińskie produkty
Bruksela nie odpuści. Chodzi o embargo na ukraińskie produkty
Nowe zagrożenie w Europie. WHO ostrzega przed groźnym wirusem
Nowe zagrożenie w Europie. WHO ostrzega przed groźnym wirusem
Afera ws. działki pod CPK. Robert Telus odpowiada na zarzuty
Afera ws. działki pod CPK. Robert Telus odpowiada na zarzuty
Poszukiwania dronów z 10 września. Komunikat Dowództwa Operacyjnego
Poszukiwania dronów z 10 września. Komunikat Dowództwa Operacyjnego
Kolejny krok do uchylenia immunitetu Ziobry. Znamy szczegóły
Kolejny krok do uchylenia immunitetu Ziobry. Znamy szczegóły