Наиболее активен Nimda в Азии, где счёт инфицированных систем пошёл на тысячи, но вчерашний день принёс сообщения о заражении и компьютерных систем в Европе. Специалисты по компьютерной безопасности прогнозируют в ближайшее время значительное – до десятков тысяч - увеличение числа заражений Nimda.

Наш комментарий:

Честное слово, в августе, впервые ощутив масштабы эпидемии Code Red и бестолковость кода самого вируса, подмывало сесть и написать нечто, способное распорядиться огромным потенциалом – миллионами машин в сегодняшней Сети – умело и грамотно. Нет, не для того, чтобы принести в Интернет хаос, но просто – увидеть, сколь действенной может оказаться работа вируса, использующего все, предоставленные ему возможности на полную катушку. До сих пор единственным сетевым вирусом такого рода был известный червь Морриса – если помните, он умел работать на нескольких слабосовместимых платформах - и с тех далёких пор, пожалуй, не было написано ни одного создания, которое с ним могло бы сравниться. Впрочем, досадное упущение теперь исправлено – вышедший на просторы Сети в понедельник вирус Nimda имеет все шансы стать очередной вехой в истории компьютерной эволюции.

Пока что о новичке известно мало – даже разработчики антивирусного софта, обычно наперебой начинающие расхваливать свои чудодейственные лекарства, скромно помалкивают, предпочитая заниматься анализом кода (впрочем, “Лаборатория Касперского” сообщила о выпуске противоядия). И по всей видимости, Nimda того стоит. Итак, как же он работает ? Попасть к своей потенциальной жертве вирус может сразу четырьмя путями:

1. Если на машине запущен IIS, то Nimda попросту взламывает его, используя несколько известных “дыр” в защите сервера.

2. Вирус может быть прислан в виде аттача к электронному письму – в этом случае, любопытный пользователь должен сам польститься на посылку и запустить её (в “Теме” письма даётся случайный текст, а сам аттач называется скромно и притягательно readme.exe)

3. Вирус можно скачать из Сети – случайно забредя на страничку взломанного Нимдой же сервера: он специально модифицирует исполняемые файлы на заражённом им сервере и создаёт особую страничку, где предлагает эти файлы выкачать.

4. Если ваш компьютер имеет открытые для изменения удалёнными пользователями каталоги и файлы, Nimda сможет заразить их с чужой машины.

Получив управление над компьютером, Nimda приступает к репликации – модифицируя доступный контент в виде исполняемых файлов и лицевых страниц сервера, и просто рассылая свои копии по всем адресам, что отыщутся в адресной книге машины. Таким образом, жертвами нового вируса с одинаковой лёгкостью становятся как рядовые пользователи, не обладающие активным веб-сервером, так и владельцы серверов, на которых могут располагаться десятки сайтов.

Nimda, похоже, ничего не удаляет, однако, и его предприимчивости по собственному распространению вполне хватает для того, чтобы – вот она, основная проблема, вызываемая новичком – перегрузить локальные сети небольших компаний избыточным трафиком. Пересылая по почте свои копии и сканируя машины на предмет наличия незащищённой версии IIS, Nimda способен привести к полной остановке работы сети с относительно небольшой пропускной способностью. Вчера, как уже сообщалось, вирус добрался до Европы и завалил там весьма неслабые локальные сети двух подразделений British Telecom, локалки нескольких крупных банков (в частности, Deutsche Bank). Сообщения о замедлении работы всего Интернет в результате деятельности Nimda пока не подтвердились, однако, вполне могут оказаться правдой в самое ближайшее время – ведь пока что за сутки антивирусные компании насчитывают максимум по нескольку тысяч случаев заражения Нимдой, но как показывает опыт с Code Red, численность жертв может вырасти внезапно до величин огромных.

Чтобы не заразиться Nimda (кстати, странное название получено чтением слова “Admin” наоборот – такой вот чёрный юмор), необходимо соблюдать обычные правила – не запускать исполняемые файлы, пришедшие по почте, и установить стандартный патч от Microsoft для IIS (выпущенный по случаю Code Red). Впрочем, если вы работаете в локальной сети, этого может быть недостаточно – ведь и коллеги должны соблюдать те же правила. Как говорится, события предстоят…