Postovani korisnici,
tokom jucerasnjeg podneva po nasem vremenu, nekolicina sistemskih
administratora koji se bave sigurnoscu web servera primjetilo je niz
nestandardnih upita na web servere koji su temeljeni na IIS (Internet
Information Services) 4.0/5.0 arhitekturi. Ubrzo je primjeceno da se
Internetom siri novi virus, nazvan w32.nimda.amm, odnosno NIMDA.
Virus predstavlja potencijalnu opasnost za sve korisnike Windows
operativnog sustava, koji imaju Internet Explorer, te Outlook. Do sada
nije potvrdjeno prenosenje virusa putem drugih browsera.
infobih.com Vam donosi ovaj mail u namjeri ocuvanja Vasih racunala,
podataka i poslovanja od potencijalnih steta izazvanih ovim virusom.
Sadrzaj obavijesti:
I. Uvod
II. Nacini na koji se racunalo moze zaraziti
III. Obrana od Nimda virusa
IV. Sto uciniti ako je racunalo vec zarazeno
V. Koraci poduzeti unutar infrastrukture infobih.com-a
VI. Disclaimer
___________________________________________________
I. Uvod
Unutar samo nekoliko sati, veliki broj sistemskih administratora prijavio
je sto pokusaje sto stvarne upade ovog virusa na njihove IIS web servere.
Nakon sto je odredjen broj servera vec bio zarazen ovim virusom, njegovo
sirenje je nastavljeno gotovo eksponencijalnom brzinom, na nacin da
su zarazeni serveri napdali druge servere putem dobro poznatih i vec
zatvorenih rupa u IIS serverima, a koje odredjeni sistemski administratori
nisu zatvorili.
Osnovna znacajka ovog crva je da svoje napade ne ogranicava na sirenje
iskljucivo preko IIS servera, vec da se napadi nastavljaju putem elektronicke
poste. Nacin na koji se ovo dogadja jest da se putem elektronicke poste
razasalje attachment pod nazivom README.EXE, MIME-type kojem je
"audio/x-wav", zajedno s nekim .html datotekama. Sama e-mail poruka
sa potencijalno opasnim sadrzajem u prvim verzijama nije sadrzavala
nikakav tekst.
Nimda, kako je ubrzo prozvan ovaj virus, jest zapravo kompleksan
virus, koji sadrzi komponentu za masovno slanje e-mail poruka,
koje opet sadrze vec spomenuti attachment README.EXE. Virus
je potencijalno opasan za korisnike Windows operativnog sustava
u verzijama Me, NT 4.0, 2000, 95, te 98. Prijave problema vezanih
uz ovaj virus i Windows XP jos nisu primljene. Nimda objedinjava
tri komponente: masovno slanje zarazenih e-mail poruka, mrezno
sirenje, te tipicno virusno zarazivanje sustava.
___________________________________________________
II. Nacini na koji se racunalo moze zaraziti
Nimda uzrokuje niz problema na racunalu, te se razasilje po svim
e-mail adresama koje uspije pronaci na racunalu koje zarazi.
Nacini na koje se racunalo moze zaraziti Nimda virusom:
- pregledavanjem stranica koje se nalaze na vec zarazenom
web serveru, putem preglednika (browsera) koji omogucava
ucitavanje JavaScripts skripti, a koji nije pravilno nadoradjen
na verziju 5.0 ili 5.01 s SP2 (ovdje se primarno misli na
na Internet Explorer browser),
- odabirom (ne obavezno i otvaranjem) datoteka s nastavkom
.eml i .nws, u slucaju da se te datoteke odabiru unutar Explorera
koji je sastavni dio Windows operativnog sustava, a kojem je
u isto vrijeme omogucen ActiveDesktop,
- putem mreznih "shareova" odnosno dijeljenih direktorija ili
mrezno mapiranih diskova. Svako racunalo koje je zarazeno
Nimda virusom zaraziti ce datoteke na mapiranim diskovima
i dijeljenim direktorijima unutar mreze,
- primanjem mail s attachmentom MIME audio/x-wav tipa, te
te pokretanjem primljenog attachmenta, bez obzira na e-mail
klijent koji se koristi.
- IIS serveri se mogu zaraziti medjusobno, ako nisu zasticeni
prema preporukama Microsoft-a.
___________________________________________________
III. Obrana od Nimda virusa
Nacini na koje se korisnici Windows operativnih sustava s
Internet Explorer browserom mogu zastiti od Nimda virusa,
odnosno njegovog sirenja putem web stranica koje se nalaze
na web serverima zarazenim Nimda virusom:
- provjeriti instalacije Internet Explorer pretrazivaca, te po potrebi
napraviti nadogradnju na verziju 5.5 SP2 ili vecu:
http://www.microsoft.com/windows/ie/default.asp
- iskljuciti ActiveDesktop opciju
(Za detaljnije upute oko ovih operacija pogledati dokumentaciju
Internet Explorer preglednika)
Sto se tice sirenja virusa putem elektronicke poste, najbolja
je preporuka imati antivuirusni program s omogucenim pregledavanjem
dolaznih poruka, te dakako, ne pokretati attachmenete
primljene unutar e-mail poruka, bez obzira koliko vjerovali
osobi koja je poslal samu poruku, jer i ona sama mozda nije
svjesna da je njeno racunalo vec zarazeno.
___________________________________________________
IV. Sto uciniti ako je racunalo vec zarazeno
Kako je Nimda slozen oblik virusa, koji sadrzi vise komponenti
zarazivanja, makivanjem datoteka koje on u startu kreira vjerovatno
sam virus nece biti uklonjen s racunala. Iz tog se razloga preporucuje
koristenje nekog od antivurisnih programa. Prije koristenje potrebno
je obavezno nadograditi bazu "potpisa" virusa, sto je kod svih
kvalitetnih antivirusnih programa omoguceno vrlo jednostavnim
mehanizmom ugradjenim u sam program.
infobih.com ne preporuca sljedece korake, ali ih donosi u
najboljoj namjeri, predvidjeno za iskusnije korisnike.
infobih.com preporucuje koristenje antivirusnih programa za ciscenje
sustava.
Za rucno ciscenje tragova virusa sa sustava, potrebno je napraviti
sljedece korake:
1) poduci racunalo u DOS modu
2) otvoriti datoteku system.ini iz c:windows direktorija
3) potraziti liniju unutar system.ini datoteke
shell=explorer.exe load.exe -donotloadold
te je zamijeniti s linijom
shell=explorer.exe
4) prebaciti se u direktorij c:windowssystem
1) napisati attrib -s -h riched20.dll
2) napisati attrib -s -h load.exe
3) napisati del riched20.dll, 56kb (prvo provjeriti datum kreiranja
datoteke, ako je jedan od zadnja dva dana, obrisati datoteku)
4) napisati del load.exe
Gornje informacije vrijede za Windows 95/98 operativni sustav,
i predvidjene su za inicijalnu verziju virusa.
___________________________________________________
V. Koraci poduzeti unutar infrastrukture infobih.com-a
Web serveri infobih.com-a temeljeni ne IIS tehnologiji su pravilno
zasiteceni svim preporucenim siguronosnim nadogradnjama, te
u ovom trenutku ne postoji opasnost od infekcije Nimda virusom
u njegovom trenutom obliku. infobih.com je predan ocuvanju sigurnosti
i stabilnost svojih servera, s ciljem pruzanja sto vec razine usluge
svojim trenutnim i buducim korisnicima.
___________________________________________________
VI. Disclaimer
infobih.com donosi gornje informacije svojim korisnicima u najboljoj
namjeri. infobih.com nazalost ne moze preuzeti odgovornost za njihovu
tocnost. Isto tako, infobih.com ne preuzima odgovornost za
eventualne gubitke podataka ili nestabilnost sustava uzrokovano
primjenom ovih podataka. Zaposlenici infobih.com-a nastavljaju
pomno pratiti sitaciju i prezentirati ce sve prikupljene informacije
svojim korisnicima.