"Лаборатория Касперского" рекомендует: не пользуйтесь Интернет и почтой без пачта!

Зарегистрирована глобальная эпидемия сетевого червя "Nimda"

"Лаборатория Касперского", ведущий российский разработчик систем
информационной безопасности, сообщает, что в ночь с 18 на 19 сентября была
зарегистрирована вспышка опасного сетевого червя "Nimda". Компания получила
более 500 сообщений со всего мира об инцидентах, связанных с заражением
данной вредоносной программой.

"Nimda" (слово "Admin" наоборот) представляет собой серьезную угрозу как для
корпоративных, так и индивидуальных пользователей. Червь открывает все
диски, установленные на зараженных компьютерах для полного доступа. Таким
образом, любой желающий имеет возможность удалять, изменять, копировать,
просматривать любые документы на данном компьютере. Это может привести к
утечке, потере и несанкционированной модификации важной конфиденциальной
информации.

"Nimda" проникает на компьютер несколькими путями.
Во-первых, через электронную почту. На целевой компьютер доставляется
зараженное письмо в формате HTML, содержащее ряд внедренных объектов. При
просмотре письма один из этих объектов (файл README.EXE) автоматически
запускается без ведома пользователя. Для этого червь использует брешь в
системе безопасности Internet Explorer
, которая
была обнаружена в марте 2001 г.
Во-вторых, при посещении зараженных Web-сайтов. Вместо оригинальной страницы
посетителю показывается ее модифицированная версия, содержащая вредоносную
Java-программу. Эта программа загружает и запускает на удаленном компьютере
копию "Nimda", используя упомянутую выше брешь в защите Internet Explorer.
В-третьих, через ресурсы локальной сети. Червь сканирует все доступные
сетевые ресурсы и записывает туда тысячи своих копий. Расчет сделан на то,
что пользователь, нашедший непонятный файл на своем диске или на сервере
запустит его и собственноручно заразит компьютер.

Помимо проникновения на рабочие станции, "Nimda" также проводит атаку на
Web-серверы под управлением системы Microsoft Internet Information Server
(IIS). Схема заражения IIS-серверов полностью идентична червю "BlueCode":
сначала вредоносная программа получает доступ к жесткому диску удаленного
сервера, загружает туда свой файл-носитель с ранее зараженного компьютера и
затем запускает его. При этом используется брешь в защите IIS "Web Server
Folder Traversal", описанная в соответствующем бюллетене Microsoft
.

"Причина столь бурной эпидемии "Nimda" - нестандартный способ проникновения
на компьютеры. Вместо "традиционных" вложенных файлов червь использует брешь
в системе безопасности. Общеизвестно, что большинство пользователей
пренебрегают советом оперативно устанавливать "заплатки", и поэтому масштабы
эпидемии "Nimda" могут даже превзойти последствия недавно нашумевшего червя
"SirCam", - комментирует Евгений Касперский, руководитель антивирусных
исследований "Лаборатории Касперского".

Для защиты от "Nimda" необходимо загрузить и установить обновление базы
данных Антивируса Касперского. Соответствующее обновление было выпущено в 18
сентября, в 19.30 по московскому времени. Также, "Лаборатория Касперского"
рекомендует немедленно установить "заплатки" для Internet Explorer и IIS,
устраняющие бреши в защите данных программ. Это поможет предотвратить атаки
не только "Nimda", но и любых других подобных червей, которые могут
появиться в будущем. "Без этих мер предосторожности, а также учитывая размах
эпидемии, мы советуем пользователям временно воздержаться от использования
электронной почты и Интернет", - добавил Евгений Касперский.

Более подробное описание червя доступно в "Вирусной Энциклопедии
Касперского".


Информационная служба "Лаборатории Касперского"