Postovani korisnici, tokom jucerasnjeg podneva po nasem vremenu, nekolicina sistemskih administratora koji se bave sigurnoscu web servera primjetilo je niz nestandardnih upita na web servere koji su temeljeni na IIS (Internet Information Services) 4.0/5.0 arhitekturi. Ubrzo je primjeceno da se Internetom siri novi virus, nazvan w32.nimda.amm, odnosno NIMDA. Virus predstavlja potencijalnu opasnost za sve korisnike Windows operativnog sustava, koji imaju Internet Explorer, te Outlook. Do sada nije potvrdjeno prenosenje virusa putem drugih browsera. infobih.com Vam donosi ovaj mail u namjeri ocuvanja Vasih racunala, podataka i poslovanja od potencijalnih steta izazvanih ovim virusom. Sadrzaj obavijesti: I. Uvod II. Nacini na koji se racunalo moze zaraziti III. Obrana od Nimda virusa IV. Sto uciniti ako je racunalo vec zarazeno V. Koraci poduzeti unutar infrastrukture infobih.com-a VI. Disclaimer ___________________________________________________ I. Uvod Unutar samo nekoliko sati, veliki broj sistemskih administratora prijavio je sto pokusaje sto stvarne upade ovog virusa na njihove IIS web servere. Nakon sto je odredjen broj servera vec bio zarazen ovim virusom, njegovo sirenje je nastavljeno gotovo eksponencijalnom brzinom, na nacin da su zarazeni serveri napdali druge servere putem dobro poznatih i vec zatvorenih rupa u IIS serverima, a koje odredjeni sistemski administratori nisu zatvorili. Osnovna znacajka ovog crva je da svoje napade ne ogranicava na sirenje iskljucivo preko IIS servera, vec da se napadi nastavljaju putem elektronicke poste. Nacin na koji se ovo dogadja jest da se putem elektronicke poste razasalje attachment pod nazivom README.EXE, MIME-type kojem je "audio/x-wav", zajedno s nekim .html datotekama. Sama e-mail poruka sa potencijalno opasnim sadrzajem u prvim verzijama nije sadrzavala nikakav tekst. Nimda, kako je ubrzo prozvan ovaj virus, jest zapravo kompleksan virus, koji sadrzi komponentu za masovno slanje e-mail poruka, koje opet sadrze vec spomenuti attachment README.EXE. Virus je potencijalno opasan za korisnike Windows operativnog sustava u verzijama Me, NT 4.0, 2000, 95, te 98. Prijave problema vezanih uz ovaj virus i Windows XP jos nisu primljene. Nimda objedinjava tri komponente: masovno slanje zarazenih e-mail poruka, mrezno sirenje, te tipicno virusno zarazivanje sustava. ___________________________________________________ II. Nacini na koji se racunalo moze zaraziti Nimda uzrokuje niz problema na racunalu, te se razasilje po svim e-mail adresama koje uspije pronaci na racunalu koje zarazi. Nacini na koje se racunalo moze zaraziti Nimda virusom: - pregledavanjem stranica koje se nalaze na vec zarazenom web serveru, putem preglednika (browsera) koji omogucava ucitavanje JavaScripts skripti, a koji nije pravilno nadoradjen na verziju 5.0 ili 5.01 s SP2 (ovdje se primarno misli na na Internet Explorer browser), - odabirom (ne obavezno i otvaranjem) datoteka s nastavkom .eml i .nws, u slucaju da se te datoteke odabiru unutar Explorera koji je sastavni dio Windows operativnog sustava, a kojem je u isto vrijeme omogucen ActiveDesktop, - putem mreznih "shareova" odnosno dijeljenih direktorija ili mrezno mapiranih diskova. Svako racunalo koje je zarazeno Nimda virusom zaraziti ce datoteke na mapiranim diskovima i dijeljenim direktorijima unutar mreze, - primanjem mail s attachmentom MIME audio/x-wav tipa, te te pokretanjem primljenog attachmenta, bez obzira na e-mail klijent koji se koristi. - IIS serveri se mogu zaraziti medjusobno, ako nisu zasticeni prema preporukama Microsoft-a. ___________________________________________________ III. Obrana od Nimda virusa Nacini na koje se korisnici Windows operativnih sustava s Internet Explorer browserom mogu zastiti od Nimda virusa, odnosno njegovog sirenja putem web stranica koje se nalaze na web serverima zarazenim Nimda virusom: - provjeriti instalacije Internet Explorer pretrazivaca, te po potrebi napraviti nadogradnju na verziju 5.5 SP2 ili vecu: http://www.microsoft.com/windows/ie/default.asp - iskljuciti ActiveDesktop opciju (Za detaljnije upute oko ovih operacija pogledati dokumentaciju Internet Explorer preglednika) Sto se tice sirenja virusa putem elektronicke poste, najbolja je preporuka imati antivuirusni program s omogucenim pregledavanjem dolaznih poruka, te dakako, ne pokretati attachmenete primljene unutar e-mail poruka, bez obzira koliko vjerovali osobi koja je poslal samu poruku, jer i ona sama mozda nije svjesna da je njeno racunalo vec zarazeno. ___________________________________________________ IV. Sto uciniti ako je racunalo vec zarazeno Kako je Nimda slozen oblik virusa, koji sadrzi vise komponenti zarazivanja, makivanjem datoteka koje on u startu kreira vjerovatno sam virus nece biti uklonjen s racunala. Iz tog se razloga preporucuje koristenje nekog od antivurisnih programa. Prije koristenje potrebno je obavezno nadograditi bazu "potpisa" virusa, sto je kod svih kvalitetnih antivirusnih programa omoguceno vrlo jednostavnim mehanizmom ugradjenim u sam program. infobih.com ne preporuca sljedece korake, ali ih donosi u najboljoj namjeri, predvidjeno za iskusnije korisnike. infobih.com preporucuje koristenje antivirusnih programa za ciscenje sustava. Za rucno ciscenje tragova virusa sa sustava, potrebno je napraviti sljedece korake: 1) poduci racunalo u DOS modu 2) otvoriti datoteku system.ini iz c:windows direktorija 3) potraziti liniju unutar system.ini datoteke shell=explorer.exe load.exe -donotloadold te je zamijeniti s linijom shell=explorer.exe 4) prebaciti se u direktorij c:windowssystem 1) napisati attrib -s -h riched20.dll 2) napisati attrib -s -h load.exe 3) napisati del riched20.dll, 56kb (prvo provjeriti datum kreiranja datoteke, ako je jedan od zadnja dva dana, obrisati datoteku) 4) napisati del load.exe Gornje informacije vrijede za Windows 95/98 operativni sustav, i predvidjene su za inicijalnu verziju virusa. ___________________________________________________ V. Koraci poduzeti unutar infrastrukture infobih.com-a Web serveri infobih.com-a temeljeni ne IIS tehnologiji su pravilno zasiteceni svim preporucenim siguronosnim nadogradnjama, te u ovom trenutku ne postoji opasnost od infekcije Nimda virusom u njegovom trenutom obliku. infobih.com je predan ocuvanju sigurnosti i stabilnost svojih servera, s ciljem pruzanja sto vec razine usluge svojim trenutnim i buducim korisnicima. ___________________________________________________ VI. Disclaimer infobih.com donosi gornje informacije svojim korisnicima u najboljoj namjeri. infobih.com nazalost ne moze preuzeti odgovornost za njihovu tocnost. Isto tako, infobih.com ne preuzima odgovornost za eventualne gubitke podataka ili nestabilnost sustava uzrokovano primjenom ovih podataka. Zaposlenici infobih.com-a nastavljaju pomno pratiti sitaciju i prezentirati ce sve prikupljene informacije svojim korisnicima.