Ще раз про вірус Nimda
09/23/2001 | НеДохтор
Наперед вибачаюсь за oftopic.
На всякий випадок ще раз запускаю інфо про новий небезпечний вірус Nimda.
Постарайтесь спокійно та завчасно ознайомитись з інформацією.
З часу появи першого повідомлення з’явилась більш розширена інформація та програми для видалення.
З сайту "Лабораторія Касперського"
http://www.kaspersky.ru/news.asp?tnews=0&nview=1&id=254&page=0
-------------------------------------------------------
"Nimda" проникает на компьютер несколькими путями.
Во-первых, через электронную почту. На целевой компьютер доставляется зараженное письмо в формате HTML, содержащее ряд внедренных объектов. При просмотре письма один из этих объектов (файл README.EXE) автоматически запускается без ведома пользователя. Для этого червь использует брешь в системе безопасности Internet Explorer, которая была обнаружена в марте 2001 г.
Во-вторых, при посещении зараженных Web-сайтов. Вместо оригинальной страницы посетителю показывается ее модифицированная версия, содержащая вредоносную Java-программу. Эта программа загружает и запускает на удаленном компьютере копию "Nimda", используя упомянутую выше брешь в защите Internet Explorer.
В-третьих, через ресурсы локальной сети. Червь сканирует все доступные сетевые ресурсы и записывает туда тысячи своих копий. Расчет сделан на то, что пользователь, нашедший непонятный файл на своем диске или на сервере запустит его и собственноручно заразит компьютер.
Помимо проникновения на рабочие станции, "Nimda" также проводит атаку на Web-серверы под управлением системы Microsoft Internet Information Server (IIS). Схема заражения IIS-серверов полностью идентична червю "BlueCode": сначала вредоносная программа получает доступ к жесткому диску удаленного сервера, загружает туда свой файл-носитель с ранее зараженного компьютера и затем запускает его. При этом используется брешь в защите IIS "Web Server Folder Traversal", описанная в соответствующем бюллетене Microsoft.
"Причина столь бурной эпидемии "Nimda" - нестандартный способ проникновения на компьютеры. Вместо "традиционных" вложенных файлов червь использует брешь в системе безопасности. Общеизвестно, что большинство пользователей пренебрегают советом оперативно устанавливать "заплатки", и поэтому масштабы эпидемии "Nimda" могут даже превзойти последствия недавно нашумевшего червя "SirCam", - комментирует Евгений Касперский, руководитель антивирусных исследований "Лаборатории Касперского".
-------
З сайту Symantec:
http://www.sarc.com/avcenter/venc/data/w32.nimda.a@mm.removal.tool.html
------------
NOTE: Once a computer has been attacked by W32.Nimda.A@mm, it is possible that your system has been accessed remotely by an unauthorized user. For this reason it is impossible to guarantee the integrity of a system that has had such an infection. The remote user could have made changes to your system, including but not limited to the following:
- Stealing or changing passwords or password files
- Installing remote-connectivity host software, also known as backdoors
- Installing keystroke logging software
- Configuring of firewall rules
- Stealing of credit card numbers, banking information, personal data, etc.
- Deletion or modification of files
- Sending of inappropriate or even incriminating material fromcustomer's email account
- Modifying access rights on user accounts or files
- Deleting information from log files to hide such activities
----------------------------------------------
Якщо хтось вже спіймав "Німду"
Програми для видалення вірусу
Від Symantec
Інструкція до програми:
http://www.sarc.com/avcenter/venc/data/w32.nimda.a@mm.removal.tool.html
Програма
http://securityresponse.symantec.com/avcenter/Fixnimda.com
Від Касперського
ftp://ftp.kaspersky.ru/utils/AntiNimd.zip
На всякий випадок ще раз запускаю інфо про новий небезпечний вірус Nimda.
Постарайтесь спокійно та завчасно ознайомитись з інформацією.
З часу появи першого повідомлення з’явилась більш розширена інформація та програми для видалення.
З сайту "Лабораторія Касперського"
http://www.kaspersky.ru/news.asp?tnews=0&nview=1&id=254&page=0
-------------------------------------------------------
"Nimda" проникает на компьютер несколькими путями.
Во-первых, через электронную почту. На целевой компьютер доставляется зараженное письмо в формате HTML, содержащее ряд внедренных объектов. При просмотре письма один из этих объектов (файл README.EXE) автоматически запускается без ведома пользователя. Для этого червь использует брешь в системе безопасности Internet Explorer, которая была обнаружена в марте 2001 г.
Во-вторых, при посещении зараженных Web-сайтов. Вместо оригинальной страницы посетителю показывается ее модифицированная версия, содержащая вредоносную Java-программу. Эта программа загружает и запускает на удаленном компьютере копию "Nimda", используя упомянутую выше брешь в защите Internet Explorer.
В-третьих, через ресурсы локальной сети. Червь сканирует все доступные сетевые ресурсы и записывает туда тысячи своих копий. Расчет сделан на то, что пользователь, нашедший непонятный файл на своем диске или на сервере запустит его и собственноручно заразит компьютер.
Помимо проникновения на рабочие станции, "Nimda" также проводит атаку на Web-серверы под управлением системы Microsoft Internet Information Server (IIS). Схема заражения IIS-серверов полностью идентична червю "BlueCode": сначала вредоносная программа получает доступ к жесткому диску удаленного сервера, загружает туда свой файл-носитель с ранее зараженного компьютера и затем запускает его. При этом используется брешь в защите IIS "Web Server Folder Traversal", описанная в соответствующем бюллетене Microsoft.
"Причина столь бурной эпидемии "Nimda" - нестандартный способ проникновения на компьютеры. Вместо "традиционных" вложенных файлов червь использует брешь в системе безопасности. Общеизвестно, что большинство пользователей пренебрегают советом оперативно устанавливать "заплатки", и поэтому масштабы эпидемии "Nimda" могут даже превзойти последствия недавно нашумевшего червя "SirCam", - комментирует Евгений Касперский, руководитель антивирусных исследований "Лаборатории Касперского".
-------
З сайту Symantec:
http://www.sarc.com/avcenter/venc/data/w32.nimda.a@mm.removal.tool.html
------------
NOTE: Once a computer has been attacked by W32.Nimda.A@mm, it is possible that your system has been accessed remotely by an unauthorized user. For this reason it is impossible to guarantee the integrity of a system that has had such an infection. The remote user could have made changes to your system, including but not limited to the following:
- Stealing or changing passwords or password files
- Installing remote-connectivity host software, also known as backdoors
- Installing keystroke logging software
- Configuring of firewall rules
- Stealing of credit card numbers, banking information, personal data, etc.
- Deletion or modification of files
- Sending of inappropriate or even incriminating material fromcustomer's email account
- Modifying access rights on user accounts or files
- Deleting information from log files to hide such activities
----------------------------------------------
Якщо хтось вже спіймав "Німду"
Програми для видалення вірусу
Від Symantec
Інструкція до програми:
http://www.sarc.com/avcenter/venc/data/w32.nimda.a@mm.removal.tool.html
Програма
http://securityresponse.symantec.com/avcenter/Fixnimda.com
Від Касперського
ftp://ftp.kaspersky.ru/utils/AntiNimd.zip