Nimda

Nimda s'attaque autant aux stations de travail Windows utilisant Outlook ou Internet Explorer qu'aux serveurs Web Windows utilisant Internet Information Services (IIS).

Le procédé lui permettant de s'en prendre à des serveurs semble inspiré des méthodes de quelques vers récents, notamment Code Red, Code Red II et Code Blue. Un ordinateur infecté par le ver tente d'utiliser 16 failles différentes connues d'IIS pour s'y infiltrer. Certaines d'entre elles avaient déjà été utilisées par les trois virus cités précédemment. Une mise à jour du serveur IIS contre la faille la plus susceptible d'être utilisée est disponible depuis le mois d'octobre dernier.

S'il réussit à infecter un serveur IIS, Nimda ajoute aux pages HTML, HTM ou ASP qu'il héberge un script Javascript déclenchant le téléchargement simultané d'un fichier. Celui-ci, baptisé «readme.eml» (.eml = courriel Outlook), est envoyé conjointement de manière à profiter d'un bogue d'Internet Explorer qui lui fait ouvrir ce type de fichier automatiquement. «Readme.eml», un courriel Outlook, contient un fichier attaché nocif. La technique aurait pour effet d'infecter un ordinateur utilisant le fureteur Internet Explorer à la simple demande d'une page Web sur un serveur victime de Nimda.

Nimda se répand également par courriel. Les courriels à surveiller ne comportent apparemment aucun titre ou corps. Un fichier baptisé «readme.exe», qui se fait passer pour un fichier audio de type WAV, y est joint et déclenche évidemment l'infection. Les stations de travail infectées voient tous leurs disques partagés sur le réseau, en plus de tenter de répandre l'infection à d'autres lecteurs disponibles sur le réseau. L'auteur de ces lignes a déniché quelques copies de fichiers baptisés «sample.eml» et «desktop.eml» dans son dossier partagé...

D'autres fichiers, portant l'extension «.nws» (message de groupe de nouvelles Outlook) ou baptisés «riched20.dll» peuvent aussi être copiés sur des disques réseau afin de propager l'infection. Le fichier «riched20.dll» permet au virus d'être lancé à chaque ouverture de Microsoft Word, entre autres.

Le virus tente également de modifier les réglages d'Explorer, et donc de Windows dans son ensemble, de façon à masquer l'extension (.xxx) des fichiers. Il lui est ainsi plus facile de tromper la vigilance des utilisateurs, puisqu'un fichier baptisé par exemple «Readme.txt.exe» semblera être simplement nommé «Readme.txt», lui conférant ainsi un faux air inoffensif.

À ces désagréments, il faut ajouter une spectaculaire augmentation du trafic sur les réseaux dont certains postes sont affectés, en raison des multiples tentatives de multiplication effectuées par Nimda.

Télécharger gratuitement FixNimda qui    recherche et élimine le virus. Mise à jour des définitions de virus des    produits Symantec (Norton) Mise à jour pour les serveurs IIS Mise à jour pour Internet Explorer

Jean-François Codère Megagiciel.com 19 septembre 2001   Suggérez ce texte!

<<< retour à la zone Alerte aux virus