20.09.2001
Panda Software выпустила средство для устранения вируса Nimda.
Новый и весьма опасный вирус Nimda, о появлении которого стало известно накануне, запускается автоматически из почтовой программы Outlook, если в ней включена опция предварительного просмотра сообщений. Компания Panda Software рекомендует пользователям обновить свои антивирусные программы, прежде чем запускать Outlook или Outlook Express.
По сообщению Panda, новый вирус распространяется по E-mail благодаря уязвимости в браузере Internet Explorer 5 и почтовых клиентах Outlook и Outlook Express, обнаруженной Хуаном Карлосом Гарсией Куартанго (Juan Carlos Garcia Cuartango). В данном случае проявляются две основные черты уязвимости: с одной стороны, вирус использует HTML-код, генерирующий фрейм. С другой стороны, применяется приложение (аттачмент) в кодировке base64, помеченное как звуковой файл audio/x-wav. В результате вирус "обманывает" почтовые программы Microsoft, передавая файл, который автоматически запускается при открытии сообщения.
После заражения вирус пытается разослать самого себя, используя команды SMTP. Чтобы собрать E-mail'ы жертв, он загружается в почтовую систему через SimpleMAPI и затем сканирует сообщения в поисках адресов. Вдобавок стоит отметить, что тело письма содержит следующую строчку, которая несет информацию о возможном происхождении вируса: "Concept Virus(CV) V.5, Copyright (C)2001 R.P.China"
Если на компьютере установлена ОС Windows 9x, вирус копируется в директорию Windows/System/ в виде скрытого (hidden) файла с именем LOAD.EXE. Кроме того, червь добавляет в файл SYSTEM.INI следующую строчку, которая обеспечивает его запуск при каждой загрузке системы:
Shell=explorer.exe load.exe -dontrunold
Затем он копирует скрытый файл riched20.dll в ту же директорию Windows/System/, что позволяет вирусу запускаться каждый раз при открытии приложения, использующего этот DLL (например, Wordpad).
На компьютере с установленными Windows NT или Windows 2000 червь создает файл LOAD.EXE в директории Winnt/System32/ и создает пользователя с логином guest, включая его в группу локальных администраторов. После этого он загружается под этим логином и открывает доступ к диску C: как C$.
Наконец, червь использует еще одно уязвимое место в IIS, изменяя содержимое нескольких html- и asp-файлов таким образом, что при их просмотре открывается файл формата сообщений Outlook Express readme.eml, содержащий код вируса. В число этих файлов входят index.html, index.asp, readme.htm, main.html, main.asp, default.htm, index.htm, readme.html, readme.asp, main.htm, default.html и default.asp.
В этом случае, если Internet Explorer имеет любую из упомянутых уязвимостей, он немедленно откроет файл readme.exe, присоединенный к сообщению readme.eml.
Необходимо отметить, что система с такими уязвимостями в Internet Explorer запустит зараженные файлы .eml автоматически при каждой проверке опции "Отображать веб-содержимое на рабочем столе". Это, несомненно, наиболее серьезное действие, вызванное данной уязвимостью.
Для защиты компьютеров компаний от этого нового вредоносного вируса Panda Software рекомендует следующие действия:
Обновить антивирус перед открытием почтовых программ. После этого необходимо просканировать все сообщения и системные файлы.
Установить максимальный уровень безопасности в Internet Explorer'е.
Обновить IIS-сервер.
Убедиться, что в опциях рабочего стола установлено "Использовать классический рабочий стол Windows", а не "Отображать веб-содержимое на рабочем столе". Это предотвратит автоматический запуск зараженных файлов .eml простым нажатием на них.
Кроме того, можно проверить свой компьютер на наличие этого червя и даже нейтрализовать его в случае обнаружения с помощью бесплатной утилиты Panda ActiveScan, которая доступна на сайте http://www.pandasoftware.com/

Источник: Журнал "Компьютерра"