En ny farlig orm kaldet Nimda spreder sig med stor hast

Artiklen blev oprindeligt publiceret den 19/9/2001

Nimda udnytter flere tidligere huller og pakker dem sammen til ”en alt i én virus, orm og mailspreder”. Den forsøger at finde og udnytte så mange bagdøre som muligt i det angrebne system, samtidigt med at den forsøger at holde sig skjult. Via bagdøren inficeres andre sårbare systemer på nettet. Dette åbner mulighed for senere uautoriseret adgang. I bedste fald udnyttes de angrebne systemer blot til at danne meget trafik på nettet (Denial of Service) i deres forsøg på at smitte andre.

Skadesomfang:
Som følge af en inficering af Nimda, vil man opleve en neddrosling af computerens ydeevne, men systemet kører videre.
Nimda modificerer systemfiler, dokumenter og andre scripts.
Den udbyder harddisken på netværket så alle kan se indholdet.

Inficering:
Måden hvorpå Nimda prøver at inficere et system, er følgende:

1) Via email
En e-mail med ormen i indeholder ingen tekst og ser derfor ud til at være tom. Der er dog en vedhæftet fil (readme.exe), som kan eksekveres, blot man åbner mail'en. Ormen anvender adressebogen for at finde nye mål. Desuden kigger den også i de mails, man har sendt og modtaget, efter yderligere adresser som kan udnyttes.

2) Gennem network shares
Smitte over netværk foregår ved at Nimda kopierer sig selv ind i en .eml-fil eller en .nws-fil på alle tilgængelige serveres foldere, der så igen - hvis aktiveret af en anden bruger - kan smitte andre.

3) Code Red II/Sadmind/IIS bagdøren
Ormen leder automatisk efter IIS servere som enten er Code Red II inficeret eller som kan inficeres.

4) Gennem javascripts på webserveren.
Når ormen finder foldere med webindhold, tilføjes et ganske lille javascript til alle filer, således at fremtidige besøgende på siden også smittes.

Udbedring:

For at udbedre skaden som Nimda forvolder, skal man opdatere sit antivirusprogrammel til nyeste version. Desuden opfordres man til at opdatere sit operativsystem med de tilgængelige patches. Disse kan blandt andet findes på http://windowsupdate.microsoft.com.

Links