La conseguenza più
vistosa di un'infezione da parte di Nimda
è senza dubbio l'improvviso e talvolta insostenibile
traffico di rete generato dal worm.
Come riporta il sito di sicurezza Incidents.org,
il worm lancia numerosi scanning simultanei
della rete che possono sovraccaricare il sistema
e l'intera rete locale. Questo sembra senza
dubbio un effetto voluto, una sorta di "attacco
DDoS al contrario" che permette comunque
al worm di continuare a diffondersi di rete
in rete.
Per rilevare con una certa sicurezza un'infezione
è però sufficiente verificare la presenza
sui sistemi del file "readme.eml"
all'interno delle cartelle condivise, della
riga di testo "Shell=explorer.exe load.exe
-dontrunold" all'interno del system.ini
o, ancora, accertarsi che il file admin.dll
non abbia l'attributo "hidden",
invisibile (per far ciò, bisogna abilitare
in Explorer la visualizzazione dei file invisibili).
Nimda modifica anche molte chiavi del registro
di Windows e diverse entrate di alcuni file
di configurazione del sistema operativo e
di IIS.
Ad oggi ormai tutti i principali software
antivirus dovrebbero essere in grado di rilevare
il virus, anche se per il momento non tutti
sono in grado di rimuoverlo completamente
in automatico. In ogni caso il consiglio è
quello di procedere quanto prima ad installare
la patch
per IE 5.5SP1 e precedenti e la patch
per IIS.
Nonostante quello che promettono alcuni antivirus,
il CERT afferma che "l'unico modo sicuro
per recuperare un sistema compromesso è quello
di formattare il drive di sistema e reinstallare
il software da un media affidabile".
Il CERT ricorda inoltre di scollegare il sistema
dalla rete, altrimenti si rischia di ritrovarlo
infetto ancor prima di arrivare ad installare
le patch.
Per prevenire l'infiltrazione nella propria
rete di Nimda Trend Micro raccomanda "l'uso
di meccanismi di blocco per i file eseguibili
in modo da raggiungere un veloce livello di
sicurezza contro la diffusione di worm, come
Nimda, il cui soggetto varia in modo casuale".
Per i client di rete, anche quelli non ancora
infetti, la nota firma antivirus consiglia
poi di chiudere in scrittura tutte le condivisioni
di rete e procedere a ripulire il sistema
seguendo le istruzioni pubblicate in questa
pagina oppure scaricando il cleaner gratuito
da qui.
Al momento non siamo a conoscenza di altri
tool gratuiti per la rimozione del virus:
aggiungeremo mano a mano in questa stessa
pagina quelli eventualmente segnalatici dalle
aziende e dai lettori.
"Il virus Nimda costituisce un'ulteriore
e seria minaccia per gli utenti e-mail sia
per il suo complesso meccanismo di replicazione
sia per il fatto che si trasmette in una moltitudine
di modi. Appare come un virus concettuale
che ha però agito con successo, suggerendo
che le varianti di Nimda ed altri virus simili
potranno facilitare nuove infezioni a macchia
d'olio. La sicurezza della posta a livello
del server è assolutamente necessaria per
bloccare questa nuova minaccia," ha avvisato
David Vella, Product Manager di GFI, noto
produttore di software per la sicurezza.
Aggiornamenti
(I) Un lettore ci ha segnalato un altro
cleaner gratuito per rimuovere Nimda: Stand
Alone Removal Tool di McAfee, scaricabile
da qui
(440 KB). Pare riesca a rimuovere anche condivisioni,
voci del registro e altre modifiche apportate
dal worm al sistema operativo.
(II) Segnaliamo anche il cleaner di
Sophos,
quello di Symantech
e quello di Central
Command..
1. E' allarme sul
Net
2. Un bollettino di
guerra
3. Infezione atto I
4. Infezione atto II
5. Come scovarlo e ucciderlo
|
| Alias |
|
|
|
|
|
|
|
