Krajem leta su se mnoge antivirusne firme bavile prognozama, pitajući se da li će 2001. godina biti rekordna po šteti koju su naneli virusi. Posle najopasnijih letnjih infekcija, CodeRed-a i SirCam-a, bilo je jasno da je dovoljna još samo jedna obimnija zaraza, pa da rekord zaista bude oboren. I zaraza je došla, u obliku virusa Nimda, 18. septembra.
„Nimda“ je kompleksan virus koji u sebi sadrži i crv-komponentu, kao i neke osobine, koje crvi do sada nisu imali. U te osobine spadaju i promena stranica na web-serverima, koje učitavanjem mogu da izazovu zarazu kod korisnika koji ništa ne sluti, kao i mogućnost da se zaražena mašina koristi za skeniranje web-stranica (servera) i za pronalaženje onih sa bezbednosnim „rupama“.
Ovaj „obogaćeni“ crv može da zarazi kompjutere na više načina:
- Preko email-a: poruke stižu sa attachment-om koji može da bude vidljiv, ali i ne mora. U svakom slučaju, u pitanju je fajl README.EXE, pri čemu je subject poruke slučajno generisan, a telo poruke je prazno. Samo otvaranje (pregledanje) poruke može da izazove infekciju, posle koje crv sakuplja email-adrese iz aplikacije za elektronsku poštu, kao i sa posećenih web-stranica, koje su arhivirane u Temporary Internet files folderu. Sledi slanje poruke koja sadrži pomenuti README.EXE fajl na sve te adrese. Ugroženi su korisnici Internet Explorer-a, ali ne svi: oni koji poseduje IE 5.01 Service Pack 2 ili IE 6 su sigurni, jer su u ovim verzijama "zakrpljeni" propusti koji ovako nešto omogućavaju.
- Na meti su i korisnici PC-ja koji koriste deljene fajlove, odnosno oni koji su povezani u mrežu. Crv traga za otvorenim "kanalima" i kopira se na druge kompjutere.
- Poseta web-stranicama takođe može da dovede do zaraze. Na zaraženim serverima se menjaju stranice, tako da se pri njihovom učitavanju, surferu nudi i mogućnost download-a .eml fajla (Outlook fajl), koji sadrži virus. Da bi se ovako nešto desilo, prvo mora da bude zaražen server, a Nimda ima mogućnost da to uradi sa Microsoft IIS 4.0 i IIS 5.0 serverima.
- Do infekcije može da dođe i razmenom .exe fajlova. Na kompjuteru koji je zaražen se fajlovi sa ovom ekstenzijom menjaju, tako da sadrže virus. Slanje takvih fajlova i njihovo startovanje dovodi do virusne infekcije.
Nimda ne izaziva direktne štete, poput brisanja Windows direktorijuma ili određenih fajlova – na zaraženim kompjuterima on kreira naloge na nivou administratora, i tako omogućuje pristup hakeru. Od njegove/njene mašte zavisi šta će dalje da radi: krade i menja lozinke, instalira trojance, krade brojeve kreditnih kartica, briše i menja fajlove, špijunira vlasnika kompjutera pomoću "keystroke" softvera (sve što vlasnik kuca, haker može da vidi), koristi email-nalog zaraženog kompjutera… Na udaru mogu da se nađu korisnici Windows-a 95, 98, Me, NT i 2000. Kako se zaštiti?
Da ne bi došlo do infekcije preko pristigle email poruke, treba skinuti "zakrpu" sa adrese:
- http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
Administratori Microsoft IIS 4.0 i IIS 5.0 servera bi trebali da instaliraju zakrpe:
Pratite Krstaricu na www.krstarica.com