Возврат
ТелекомВести

Предыдущая новость19 сентября 2001 г.Следующая новость



Новый червь грозит эпидемией


18 cентября ("Телеком-Форум")

"Лаборатория Касперского" сообщила о вспышке опасного сетевого червя Nimda. Компания получила более 500 сообщений со всего мира об инцидентах, связанных с заражением данной вредоносной программой. Причина столь бурной эпидемии - нестандартный способ проникновения на компьютеры. Вместо "традиционных" вложенных файлов червь использует брешь в системе безопасности.

Nimda (слово Admin наоборот) открывает все диски, установленные на зараженных компьютерах для полного доступа. Таким образом, любой злоумышленник имеет возможность удалять, изменять, копировать, просматривать любые документы на данном компьютере. Червь проникает на машину несколькими путями. Во-первых, через электронную почту. На целевой компьютер доставляется зараженное письмо в формате HTML, содержащее ряд внедренных объектов. При просмотре письма один из этих объектов (файл Readme.exe) автоматически запускается без ведома пользователя. Для этого червь использует http://www.microsoft.com/technet/security/bulletin/MS01-020.asp в системе безопасности Internet Explorer, которая была обнаружена в марте этого года. Во-вторых, при посещении зараженных Web-сайтов. Вместо оригинальной страницы посетителю показывается ее модифицированная версия, содержащая вредоносную Java-программу. Эта программа загружает и запускает на удаленном компьютере копию Nimda, используя вышеупомянутую брешь. В-третьих, через ресурсы локальной сети. Червь сканирует все доступные сетевые ресурсы и записывает туда тысячи своих копий. Расчет сделан на то, что пользователь, нашедший непонятный файл на своем диске или на сервере запустит его и собственноручно заразит компьютер.

Помимо проникновения на рабочие станции, Nimda также проводит атаку на Web-серверы под управлением системы Microsoft Internet Information Server (IIS). Схема заражения IIS-серверов полностью идентична схеме червя BlueCode: сначала вредоносная программа получает доступ к жесткому диску удаленного сервера, загружает туда свой файл-носитель с ранее зараженного компьютера и затем запускает его. При этом используется http://www.microsoft.com/technet/security/bulletin/ms00-078.asp в защите IIS Web Server Folder Traversal.

Для защиты от Nimda необходимо загрузить и установить обновление антивирусные базы данных, помимо этого, рекомендуется инсталлировать "заплатки" для Internet Explorer и IIS, которые можно скачать с Web-узла Microsoft.

"Лаборатория Касперского"

Тел.: (095) 948 5650

e-mail: info@kaspersky.com

http://www.kaspersky.com;

Дополнительная информация

AntiCode Red (8 августа 2001 г.)

SirCam разошлет ваши секреты по всему миру (6 августа 2001 г.)

Вирус SirCam бьет рекорды по распространению (25 июля 2001 г.)

Новое поколение Internet-червей уже поразило 12 тыс. Web-сайтов (23 июля 2001 г.)

Брешь в серверном ПО Microsoft (22 июня 2001 г.)

Антивирусное ПО за 1 долл. в месяц (16 февраля 2001 г.)