Новим вірусом Nimda зайнялося ФБР
ХРОБАК
Віра КОНЮШИНКА
Комп’ютерна громада цього тижня стала жертвою ще одної вірусної епідемії. У вівторок сотні тисяч корпоративних серверів і персональних комп’ютерів у цілому світі були заражені мережевим вірусом-хробаком Nimda. У результаті блискавичного поширення хробака багато користувачів не могли нормально працювати з Інтернетом та електронною поштою.
Генеральний прокурор США Джон Ешкрофт заявив з цього приводу, що нова програма-шкідник може виявитися ще небезпечнішою, ніж Code Red – інший хробак, який наробив чимало шкоди минулим літом. Розслідуванням обставин поширення епідемії відразу ж зайнялося ФБР, агенти якого зараз і без того цілодобово працюють у зв’язку з недавніми терористичними актами.
За словами Ешкрофта, на даний момент немає свідчень щодо зв’язку між комп’ютерною епідемією й аваріями літаків, а деякі особливості хробака вказують на його можливе походження з Китаю. Тим часом наприкінці минулого тижня спеціалісти з підрозділу захисту інформації ФБР попередили про активізацію хакерської групи Dispatchers, члени якої планують зламувати інформаційні системи телекомунікаційних і фінансових структур.
Одним із компонентів Nimda є файл admin.dll, за допомогою якого вірус поширюється у корпоративних обчислювальних мережах. Як повідомив керівник відділу антивірусної компанії Trend Micro Джо Хартманн, Nimda не викликає безпосереднього знищення даних, проте записує в систему багато своїх файлів і модифікує велику кількість наявних, тому лікування зараженого комп’ютера є дуже складним.
Представники компаній, які займаються комп’ютерною безпекою, зазначають, що Nimda може заражати комп’ютери, користувачі яких відвідують заражені сайти. “Цей хробак поводиться набагато активніше, чим Code Red або Code Red II, оскільки використовує більше вразливих місць і засобів зараження”, – говорить Скот Блейк, директор підрозділу засобів захисту компанії BindView.
Крім того, Nimda передається за допомогою електронної пошти, причому в темі зараженого листа не міститься якогось певного сполучення символів, за яким можна було б ідентифікувати вірус-шкідник. При цьому активізація вірусу, який використовує пролом у захисті програми Internet Explorer, відбувається автоматично: для цього не обов’язково, щоби користувач відкривав приєднаний файл.
Механізм зараження спрацьовує, якщо у вікні поштової програми Microsoft Outlook відкрита панель попереднього перегляду (користувачі як правило включають цю панель, щоби швидко ознайомитися зі змістом листів, не відкриваючи їх). Для зараження інтернет-серверів, які працюють під управлінням програми Microsoft IIS, Nimda використовує пролом у захисті цієї програми.
Основні виробники антивірусних систем оперативно випустили поновлення для своїх продуктів для захисту від Nimda, проте новий хробак встиг поставити рекорд швидкості поширення й істотно сповільнив роботу в Інтернеті увечері у вівторок. Важливо, що заражені комп’ютери стають практично відкритими для доступу хакерів.
|
|
