Presentazione del virus Nimda

Il virus Nimda (nome di codice W32/Nimdaè un worm che si diffonde attraverso la posta elettronica, ma sfrutta ugualmente altri 4 modi di propagazione :

• Il web
• Le cartelle condivise
• Le falle del server Microsoft IIS
• Gli scambi di file

Attacca particolarmente gli utenti di Microsoft Outlook sui sistemi operativi Windows 95, 98, Millenium, NT4 e 2000.

Le azioni del virus

Lo worm Nimda recupera la lista degli indirizzi presente nelle rubriche di Microsoft Outlook e Eudora, nonché gli indirizzi mail contenuti nei file HTML presenti sul disco del terminale infetto.

Poi il virus Nimda invia a tutti i destinatari un messaggio vuoto, il cui oggetto è casuale e spesso molto lungo e allega al messaggio un documento nominato Readme.exe o Readme.eml (file che incapsula un file eseguibile). I virus che usano un'estensione di tipo .eml sfruttano una falla di Microsoft Internet Explorer 5.

D'altra parte il virus Nimda è capace di diffondersi nelle cartelle condivise delle reti Microsoft Windows infettando i file eseguibili che vi si trovano.

La consultazione di pagine Web su server infetti dal virus Nimda può causare un'infezione quando un utente consulta queste pagine con un navigatore Microsoft Internet Explorer 5 vulnerabile.

In effetti, il virus Nimda è anche capace di prendere il controllo di un server Web Microsoft IIS (Internet Information Server) sfruttando alcune falle di sicurezza.

Infine, il virus infetta i file eseguibili presenti sul terminale infetto, il che significa che è anche capace di diffondersi tramite lo scambio di file.

Sintomi dell'infezione

I computer infetti dallo worm Nimda hanno sul proprio disco i seguenti file :

• README.EXE
• README.EML
• fle con estensione .NWS
• file con nome di tipo mep*.tmp, mep*.tmp.exe (ad esempio mepE002.tmp.exe)

Per verificare se siete infetti, fate una ricerca dei file sopra citati sui vostri dischi rigidi (Start / Cerca / File o Cartelle).

Sradicare il virus

Per sradicare lo worm Nimda, il miglior metodo consiste innanzi tutto nello sconnettere il terminale dalla rete, poi usare un antivirus recente oppure il kit di disinfezione proposto da Symantec :
Scaricare il kit di disinfezione

D'altra parte, il virus si diffonde attraverso una falla di sicurezza di Microsoft Internet Explorer, quindi potete essere contaminati dal virus navigando su un sito infetto. Per rimediarvi è necesario scaricare il patch (correttivo software) per Microsof
http://www.microsoft.com/windows/ie/download/critical/Q290108/default.asp

Ulteriori informazioni sul virus

• http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=PE_NIMDA.B
• http://www.01net.com/rdn?oid=161399&rub=3034
• http://vil.nai.com/vil/virusSummary.asp?virus_k=99209
• http://www.sophos.com/virusinfo/analyses/w32nimdaa.html