|
Dopo le scorribande
estive di Code Red, sulla rete è nuovamente
allarme rosso per Nimda, un nuovo worm per
Windows che negli scorsi due giorni ha messo
in allarme non soltanto gli esperti di sicurezza,
ma persino l'FBI, che martedì notte ha istituito
in tutta fretta una task force per studiare
il virus.
A poche ore dalla sua scoperta, avvenuta
martedì, Nimda ha già mostrato una capacità
di diffusione impressionante ed una complessità
così elevata che, nella giornata di ieri,
gli esperti di sicurezza ancora ne studiavano
comportamento e tecniche di infezione.
"Abbiamo di fronte un nuovo Internet
worm in grado di diffondersi a velocità
mai viste prima", ha affermato Steven
Sundermeier di Central Command. "È
davvero complesso, molto pericoloso, con
diverse potenzialità in più rispetto a Code
Red. È come una sorta di super Code Red
ed un super Sircam combinati insieme".
Per diffondersi, Nimda utilizza tre differenti
canali: la posta elettronica, in cui si
presenta come allegato con il nome di "readme.exe";
Internet Information Server, sul quale,
con un meccanismo molto simile a quello
già utilizzato da Code Red, può agire sfruttando
diverse vulnerabilità; le condivisioni di
rete all'interno di LAN con client Windows.
Inizialmente qualcuno aveva persino ipotizzato
che il worm avesse la capacità di auto propagarsi
anche attraverso FTP e IRC, ma per il momento
non c'è nessuna conferma di questo (a parte,
come vedremo, l'uso di TFTP).
Sebbene non distruttivo, questo worm è stato
catalogato da tutte le imprese antivirus
come "ad alto rischio" ed il motivo
sta nel fatto che Nimda può, nel giro di
pochi minuti, mettere in ginocchio un'intera
intranet, i network interni di enti e aziende.
Come si vedrà anche in seguito, il worm
sembra infatti in grado di generare notevole
traffico di rete in seguito ai suoi numerosi
e simultanei tentativi di cercare altre
macchine da infettare.
Già ieri mattina molti amministratori di
sistema hanno notato un sensibile incremento
di richieste verso i loro server Web, centinaia
di scansioni contemporanee da parte del
worm alla ricerca di vulnerabilità conosciute
di IIS. Secondo gli esperti questo incremento
di traffico è molto più elevato di quello
che si era registrato in occasione di Code
Red, e finisce per rallentare anche i siti
non infetti.
Un lettore ieri ha scritto a Punto Informatico:
"Abilitando il web server (su Unix/Linux)
almeno l'80% di traffico generato sulla
nostra linea dedicata è dovuto a questo
worm, e questo ci costringe quindi a mantenere
il server attualmente disattivo. Già altri
provider con cui sono in contatto lamentano
danni simili". CONTINUA>>
1.
E' allarme sul Net
2. Un bollettino di
guerra
3. Infezione atto
I
4. Infezione atto
II
5. Come scovarlo e
ucciderlo
Fonte
Punto Informatico
|
