Si sta diffondendo molto velocemente e sta causando parecchi problemi alle reti aziendali. Il suo fine è intasare di traffico le Lan per limitare la banda disponibile. Non sembra però causare danni ai dati
Questa volta è davvero codice rosso. È stato infatti scoperto un nuovo virus
di tipo worm, denominato W32/Nimda.A@mm (più
confidenzialmente Nimda), che si rifà al ben noto Code Red e si sta diffondendo
a macchia d’olio. Ma quello che più importa è che si tratta di un virus
altamente invasivo che cerca di sovraccaricare di traffico le reti locali e
Internet.
Il nuovo virus si avvale di tre differenti canali per la sua
diffusione.
– Via e-mail: solitamente è annidato all’interno di un allegato con nome
readme.exe. Ma nelle ultime ore sono state rilevate ulteriori versioni, annidate
in file con estensione wav o com. Il virus trasportato dall’e-mail può essere
eseguito se aperto usando Ms Outlook o Ms Outlook Express. Nimda sfrutta le
caratteristiche del software client per attivare il codice durante la
visualizzazione del messaggio. Attraverso la sua massiccia e veloce diffusione,
il virus provoca lo spamming verso le reti e i server aziendali determinando una
riduzione dell’efficienza dei sistemi e una drastica diminuzione della banda
disponibile. Per raggiungere questo risultato, il virus si autoinvia a tutti i
nominativi presenti nella rubrica di Outlook.
– Attraverso drive
condivisi. Simile a PE_FUNLOVE.4099, il worm cerca la rete alla quale il Pc
infetto è collegato con cartelle condivise e su quali si ha i diritti di
scrittura. Se viene trovata una cartella di questo tipo, viene rinominata con un
nome a caso attraverso Nws (Newsgroup Posting) o un file Eml contenente il
codice virale.
– Tramite le macchine con Iis installato attraverso Iis Web Directory
Transversal. Cerca vari e differenti buchi nella sicurezza dei server Iis. Se ne
trova uno, il worm lo utilizza per un’ulteriore diffusione.
Tutte le principali aziende che producono antivirus hanno già isolato Nimda e
ne hanno realizzato la corretta signature per consentire ai propri software di
individuare ed eliminare il virus. Per cui suggeriamo di visitare i siti dei
rispettivi produttori per scaricare gli aggiornamenti e quindi dotare il proprio
computer di un sistema sicuro di protezione.
Ecco alcuni degli indirizzi a cui fare riferimento:
Computer Associates –
ca.com/virusinfo
Gfi – www.gfi.com/press/nimda.htm
McAfee
– vil.nai.com/vil/virussummary.asp?virus_k=99209
Panda – www.pandasoftare.com
Symantec – securityresponse.symantec.com/avcenter/download.html
Symbolic
– www.symbolic.it/Rassegna/nimda.html
Trend
Micro – www.antivirus.com
Tuttavia, riteniamo opportuno dare alcuni consigli possono essere d’aiuto per
evitare l’infezione su un pc o all’interno di una rete locale.
– Cancellare o bloccare tutti messaggi che contengono allegati del tipo
readme.exe
– Aggiornare le definizioni dei virus e verificare che i firewall
siano correttamente configurati
– Installare la patch di sicurezza Iis
Unicode Transversal (per la versione 4 l’indirizzo dove trovare la patch è www.microsoft.com/downloads/Release.asp?ReleaseID=32061,
mentre per la versione 5 è www.microsoft.com/downloads/Release.asp?ReleaseID=32011)
–
Installare la patch di sicurezza per l’esecuzione degli header Mime
malformed
– Scollegare tutti i drive condivisi in rete
– Eventualmente,
disabilitare la funzione “Download File” all’interno di Internet
Explorer.
