Franczy

Nimda: egy újabb veszélyes féreg

Egy a szakértők szerint rendkívül veszélyes új számítógépes vírus ütötte fel a fejét a napokban, mely az elmondások szerint a különböző Microsoft szoftverek hibáit kihasználva a szervereket és az egyszerű számítógépeket is képes megfertőzni. A "Nimda", illetve "readme.exe" neveken ismert új féreg a már jól ismert módon, vagyis az elektronikus levelezés segítségével villámgyorsan terjed, és képes megtámadni azokat az internetes webszervereket is, melyeken a Microsoft Internet Information Server (IIS) van telepítve. Szakértők elmondása szerint a Nimda annyira új féreg, hogy még csak nemrégiben kezdték el megvizsgálni, hogy pontosan hogyan is működik, és hogy milyen károk okozására képes.

"Egyelőre még csak ott tartunk, hogy találgatjuk, milyen féreg is valójában a Nimda. Ez a féreg ugyanis még nagyon új, hiszen ma reggel adott jelt először magáról" - nyilatkozta kedden Fred Cohen, a connecticuti New Haven Egyetem egyik szakértője.

Az első feltételezések szerint a Nimda egyik, úgynevezett szerver komponense az IIS szoftver egyik, már elég régóta ismert biztonsági rését, a Unicode Directory Traversal sebezhető pontját használja ki, mely probléma orvoslására egyébként a Microsoft korábban már kiadta a megfelelő javítócsomagot, azonban mint az általában lenni szokott, sok rendszergazda még egészen biztosan nem telepítette azt fel a rábízott rendszerekre.

A Nimdáról azt is tudni lehet, hogy jelenleg még egyetlen antivírus szoftver sem ismeri fel, de a nagyobb antivírus szoftver fejlesztő cégek állítólag már gőzerővel dolgoznak az ügyön. Szakértők szerint a Nimda veszélyessége nemcsak abban rejlik, hogy az irodai és otthoni számítógépek mellett a szervereket is képes megfertőzni, hanem abban is, hogy állítólag képes teljesen automatikusan elindítani a Microsoft Outlook internetes levelezőprogramot, igaz csak akkor, ha annak biztonsági beállítása "Medium"-ra vagy annál alacsonyabb szintre van állítva. Eric Chien, az antivírus szoftverek fejlesztésével foglalkozó Symantec cég európai részlegének vezető kutatója szerint a Nimda a MIME (Multi-purpose Internet Mail) szabványt használja ki, és annak segítségével tud majd esetlegesen nagyobb károkat okozni. Eddig egyébként a Nimda által okozott károkról még nem érkezett jelentés.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • Bith #23
    Na fasza, közben rájöttem,h ogy hogyan kaphattam meg. Vagy az Ie-n keresztül egy fertőzött oldalról (bár elvileg van javítás az IE-n), vagy az IIS-en keresztül, mivel fut nálam webserver is.
    Tegnap ugyan leirtattam a norton féle fixnimda-val, de most újra lettek a vinyóimon Admin.dll-ek. Virusbuster ugyan felismeri, de nem ajánlott fel semmi írtást rá. Most töltöm lefele az AVP-t, az eddig is bevált már nekem régebben...
  • tomcool #21
    Sziasztok!
    Ma mi is egésznapos irtóhadjáraton voltunk, bár "csak" 1 szervert és 9 workstationt fertőzött be. Amúgy a startlapon van egy gyorssegítség a lap bal felső részén: http://www.startlap.com/nimda/animda.zip
    Ted, KaanGr: nálatok okozott valami maradandót a kis drága? Amúgy sosem tudtam megérteni, hogy mi a pi...t élveznek azok az "emberek" akik ezeket a vírusokat, férgeket stb. írogatják?!?

  • Bith #18
    Bazzzegggggggg!
    Asszem nálam is itt figyel ez a nimda :((.
    Most nézem, hogy 4 partíciómból 3-on a gyökérben van egy Admin.dll nevű file. Belekukkoltam, és ilyen részek vannak benne:
    From: < DATA
    RCPT TO: < >
    MAIL FROM: < HELO aabbcc -dontrunold NULL \readme*.exe admin.dll qusery9bnow -qusery9bnow \mmc.exe \riched20.dll boot Shell explorer.exe load.exe -dontrunold \system.ini \load.exe \\ octet

    satöbbi...

    Csak tudnám, hogy honnan jött, mert én aztán télleg nem nyitok ki semmilyen levelet, amiről nem tudom, ki küldte. Az ilyenekre egyből shift+del sors vár.
    De ezt nemtom hogy kaphattam el :(((. Van már ami leszedi rendesen?
  • CAD #17
    Hat sztem csak akkor fut le, ha nagyon le van veve a biztonsagi móka... vagy pedig mas lyukat hasznal ki.
  • KaanGr #10
    Nálunk kedd óta nimda láz van. Most sikerült eltávolítani az egész rendszerből. És érdekes, mert senki nem használ outlookot, csak én, na most énmeg nem kaptam .exe file-t. Akkor, hogy jött be? Amúgy olvastátpk már a nimdát - nimda - visszafeklé?
  • CAD #4
    Ahogy hallom, a felhasznaloi szinten csak a level mellektlet megnyitasakor terjed... hat igen, hanyszor kell meg megegetni egy embernek a kezet ahoz, hogy ne inditson el ilyen szarokat - velem meg nem fordult elo, szerencsere ismeroseim meg a kezdetek kezdteten figyelmezettek ilysmire.

    Vagy egyszeruen blokkooltatni kene outlookokban, vagy mar szerver szinten a pop3-on erkezo *.com; *.exe stb. dolgokat.