www.MegaLab.it

Non si è ancora fermata l'epidemia di SirCam e CodeRed che è già cominciata la diffusione su larga scala di un nuovo codice dannoso: questa volta si tratta di "Nimda", di probabile provenienza cinese, un codice che ha tutti i requisiti per essere veramente un problema.

Questo programmino è una vera e propria opera d'arte del suo campo: oltre ad autoreplicarsi via e-mail, sfrutta anche numerose altre falle di Windows e IIS per distribuirsi anche, proponendo di far scaricare un file .eml (estensione delle e-mail di Outlook Express) contenente il virus, e verso i siti Internet, sfruttando un buco di IIS noto come "Microsoft IIS 4.0/5.0 directory traversal".

Fortunatamente, applicando la patch per proteggere il WebServer da CodeRed, lo si rende immune anche da Nimda. Ma dicevamo che il virus può anche replicarsi via e-mail, e fin qui niente di nuovo, se non fosse che su sistemi che utilizzano Outlook Express, o una qualunque versione di Outlook precedente alla 2002, può autoeseguirsi senza che l'utente lo avvii, sfruttando alcune note falle di sicurezza. Il virus non è particolarmente dannoso per le singole postazioni ma potrebbe essere sfruttato per lanciare attacchi di tipo Denial of Service. Inoltre, il continuo scanning alla ricerca di falle di sicurezza, compromette le risorse di rete.

Le raccomandazioni per difendersi sono le solite: mantenere aggiornato l'antivirus e adottare le norme descritte nel nostro articolo "Virus: protezione efficace".

Per quanto riguarda IIS, è fondamentale installare l'apposita patch, disponibile qui.

Fondamentale anche aggiornare Internet Explorer alla versione 5.5 SP2 o versione successiva, scaricabile qui.

I system administrator di LAN molto grandi farebbero meglio anche a disattivare la condivisione in scrittura delle risorse. Siamo di fronte ad un virus estremamente pericoloso, molto difficile da rimuovere, ma non impossibile da prevenire con un po' di attenzione.