13. Windows - Nimda: forse sono stato contagiato! Come fare?

A T T E N Z I O N E

Per rilevare la presenza dell'infezione da parte di Nimda è devi:

1. verificare la presenza della riga "Shell=explorer.exe load.exe -dontrunold" all'interno del System.ini.
2. verificare della presenza del file "readme.eml".
3. verificare se il file admin.dll presenta l'attributo Nascosto
4. controllare i files .eml presenti nel sistema: aprirli con il blocco note e verifica la presenza dell'allegato "readme.exe", incluso nella e-mail come "audio/wav".

Senza dubbio la conseguenza più appariscente di un'infezione da parte di Nimda è l'nconsueto aumento traffico di rete generato dai vari scanning che il worm lancia in rete.

Comunque, per avere un test completo del sistema, ti suggeriamo di utilizzare uno dei tanti scan messi a disposizione gratuitamente da alcune società produttrici di antivirus (Networks Associates, ad esempio, con il NimdaScn.exe) o da Trend Micro (www.antivirus.com).

Verificata la presenza dell'infezione è necessario affidarsi ad un antivirus che possa rimuovere il worm in maniera automatica, considerata la complessità della rimozione manuale. In atto [23 settembre 2001] solo pochissimi AV sono in grado di ripulire completamente il sistema senza comprometterlo.

Purtroppo la pericolosità del worm è tutta sintetizzata nell'affermazione, da fonte autorevole, secondo la quale "l'unico modo sicuro per recuperare un sistema infetto e compromesso è quello di formattare e reinstallare il software".

Ricordiamo inoltre la particolarità del worm di infettare alcune tipologie di files html o asp - MAIN.HTM MAIN.HTML MAIN.ASP INDEX.HTM INDEX.HTML INDEX.ASP DEFAULT.HTM DEFAULT.HTML DEFAULT.ASP - nei quali include del codice Javascript capace di scaricare il worm su macchine di utenti remoti che stanno visitando una pagina contenuta in un sito infetto.

Per prevenire questa nuova forma di infezione è sufficiente che il client abbia Internet Explorer SP 2 o superiore (ricordiamo che dal sito Microsoft è disponibile l'aggiornamento per Internet Explorer, denominato SP2, e la patch per Internet Explorer SP1), in quanto per via della vulnerabilità denominata "Incorrect MIME Header Can Cause IE to Execute E-mail Attachment vulnerability" i client di posta che utilizzano il motore IE (versioni precedenti alla SP2) per visualizzare pagine HTML eseguiranno in automatico l'allegato della e-mail

Naturalmente queste forme di prevenzione sono sufficienti solo per i classici PC stand-alone di casa o d'ufficio, ma non bastano per i server/client di reti locali, per i quali sono necessarie altre cautele e procedure di prevenzione.