Virus „Nimda“

Krajem leta su se mnoge antivirusne firme bavile prognozama, pitajući se da li će 2001. godina biti rekordna po šteti koju su naneli virusi. Posle najopasnijih letnjih infekcija, CodeRed-a i SirCam-a, bilo je jasno da je dovoljna još samo jedna obimnija zaraza, pa da rekord zaista bude oboren. I zaraza je došla, u obliku virusa Nimda, 18. septembra.
„Nimda“ je kompleksan virus koji u sebi sadrži i crv-komponentu, kao i neke osobine, koje crvi do sada nisu imali. U te osobine spadaju i promena stranica na web-serverima, koje učitavanjem mogu da izazovu zarazu kod korisnika koji ništa ne sluti, kao i mogućnost da se zaražena mašina koristi za skeniranje web-stranica (servera) i za pronalaženje onih sa bezbednosnim „rupama“.
Ovaj „obogaćeni“ crv može da zarazi kompjutere na više načina:

• Preko email-a: poruke stižu sa attachment-om koji može da bude vidljiv, ali i ne mora. U svakom slučaju, u pitanju je fajl README.EXE, pri čemu je subject poruke slučajno generisan, a telo poruke je prazno. Samo otvaranje (pregledanje) poruke može da izazove infekciju, posle koje crv sakuplja email-adrese iz aplikacije za elektronsku poštu, kao i sa posećenih web-stranica, koje su arhivirane u Temporary Internet files folderu. Sledi slanje poruke koja sadrži pomenuti README.EXE fajl na sve te adrese. Ugroženi su korisnici Internet Explorer-a, ali ne svi: oni koji poseduje IE 5.01 Service Pack 2 ili IE 6 su sigurni, jer su u ovim verzijama "zakrpljeni" propusti koji ovako nešto omogućavaju.

• Na meti su i korisnici PC-ja koji koriste deljene fajlove, odnosno oni koji su povezani u mrežu. Crv traga za otvorenim "kanalima" i kopira se na druge kompjutere.

• Poseta web-stranicama takođe može da dovede do zaraze. Na zaraženim serverima se menjaju stranice, tako da se pri njihovom učitavanju, surferu nudi i mogućnost download-a .eml fajla (Outlook fajl), koji sadrži virus. Da bi se ovako nešto desilo, prvo mora da bude zaražen server, a Nimda ima mogućnost da to uradi sa Microsoft IIS 4.0 i IIS 5.0 serverima.

• Do infekcije može da dođe i razmenom .exe fajlova. Na kompjuteru koji je zaražen se fajlovi sa ovom ekstenzijom menjaju, tako da sadrže virus. Slanje takvih fajlova i njihovo startovanje dovodi do virusne infekcije.

  Nimda ne izaziva direktne štete, poput brisanja Windows direktorijuma ili određenih fajlova – na zaraženim kompjuterima on kreira naloge na nivou administratora, i tako omogućuje pristup hakeru. Od njegove/njene mašte zavisi šta će dalje da radi: krade i menja lozinke, instalira trojance, krade brojeve kreditnih kartica, briše i menja fajlove, špijunira vlasnika kompjutera pomoću "keystroke" softvera (sve što vlasnik kuca, haker može da vidi), koristi email-nalog zaraženog kompjutera… Na udaru mogu da se nađu korisnici Windows-a 95, 98, Me, NT i 2000. Kako se zaštiti?

  Da ne bi došlo do infekcije preko pristigle email poruke, treba skinuti "zakrpu" sa adrese:

• http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

  Administratori Microsoft IIS 4.0 i IIS 5.0 servera bi trebali da instaliraju zakrpe:

• http://www.microsoft.com/downloads/Release.asp?ReleaseID=32061 (za IIS 4.0)

• http://www.microsoft.com/downloads/Release.asp?ReleaseID=32011 (za IIS 5.0).

Pratite Krstaricu i preko mobilne aplikacije za Android i iPhone.