|
|
| E' di nuovo allarme dopo l'epidemia di SirCam, infatti è già cominciata la diffusione di un nuovo codice dannoso: "Nimda", di probabile provenienza cinese, un codice che ha tutti i requisiti per essere veramente un grosso problema. Nimda ha già infettato 130.000 web server tra Giappone, Corea e Stati Uniti. La novità che questo baco presenta, è proprio quella di andare ad intaccare i server, oltre che gli hard disk attraverso i programmi di posta elettronica. Il virus mira a colpire i web server su cui sono installate versioni non recentissime del software Microsoft Internet Information Center. Se l'attacco riesce, tutti i siti Internet contenuti nel server infettato, possono essere contagiati. Non appena un visitatore si reca sul sito un programma in javascript si installa in automatico contagiando il disco rigido del pc. Questo virus si autoreplica via e-mail, agisce come quelli tradizionali, attraverso un allegato all'interno della posta elettronica, in questo caso il file incriminato si chiama Reame.exe. La novità consiste nel fatto che basta aprire il messaggio e non l'attachment perché il virus entri in azione. In questo caso il worm si autoinvia ai componenti della rubrica. Nimda, su sistemi che utilizzano Outlook Express, o una qualunque versione di Outlook precedente alla 2002, può autoeseguirsi senza che l'utente lo avvii, sfruttando alcune note falle di sicurezza. Il virus sfrutta anche numerose altre falle di Windows e IIS per distribuirsi anche da, proponendo di far scaricare un file .eml (estensione delle e-mail di Outlook Express) contenente il virus, e verso i siti Internet, sfruttando un noto buco di IIS noto come "Microsoft IIS 4.0/5.0 directory traversal". Nimda si propaga anche attraverso i server delle reti aziendali. Le sue potenzialità sono quindi devastanti e rivoluzionarie nel settore. Tuttavia, al termine delle prime ricerche, si è rilevato che il virus non provoca danni immediatamente visibili. Fortunatamente, applicando la patch per proteggere il WebServer dal virus CodeRed, lo si rende immune anche da Nimda. Il virus non è particolarmente dannoso per le singole postazioni ma potrebbe essere sfruttato per lanciare attacchi di tipo Denial of Service. Inoltre, il continuo scanning alla ricerca di falle di sicurezza, compromette le risorse di rete. Le raccomandazioni per difendersi sono le solite: mantenere aggiornato l'antivirus e adottare precauzioni.
Per quanto riguarda IIS, l'apposita patch è disponibile qui http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-044.asp
Per aggiornare Internet Explorer alla versione 5.5 SP 2 o versione successiva, cliccate qui http://www.microsoft.com/windows/ie/ .
I system administrator di LAN molto grandi farebbero meglio anche a disattivare la condivisione in scrittura delle risorse. Siamo di fronte ad un virus estremamente pericoloso, molto difficile da rimuovere, ma non impossibile da prevenire con un po' di attenzione.
NON APRITE EMAIL INTITOLATE Nimda E CONTROLLATE IL VOSTRO COMPUTER ALL'INDIRIZZO
http://www.zdnet.it/zdnet/JumpCh.asp?IdChannel=287
|
|
