Per rilevare la presenza dell'infezione da parte di
Nimda è devi:
1. verificare la presenza della riga "Shell=explorer.exe
load.exe -dontrunold" all'interno del System.ini.
2. verificare della presenza del file "readme.eml".
3. verificare se il file admin.dll presenta l'attributo
Nascosto
4. controllare i files .eml presenti nel sistema:
aprirli con il blocco note e verifica la presenza dell'allegato
"readme.exe", incluso nella e-mail
come "audio/wav".
Senza dubbio la conseguenza più appariscente
di un'infezione da parte di Nimda è l'nconsueto
aumento traffico di rete generato dai vari scanning
che il worm lancia in rete.
Comunque, per avere un test completo del sistema, ti
suggeriamo di utilizzare uno dei tanti scan messi a
disposizione gratuitamente da alcune società
produttrici di antivirus (Networks Associates, ad esempio,
con il NimdaScn.exe) o da Trend Micro (www.antivirus.com).
Verificata la presenza dell'infezione è necessario
affidarsi ad un antivirus che possa rimuovere il worm
in maniera automatica, considerata la complessità
della rimozione manuale. In atto [23 settembre 2001]
solo pochissimi AV sono in grado di ripulire completamente
il sistema senza comprometterlo.
Purtroppo la pericolosità del worm è
tutta sintetizzata nell'affermazione, da fonte autorevole,
secondo la quale "l'unico modo sicuro per recuperare
un sistema infetto e compromesso è quello di
formattare e reinstallare il software".
Ricordiamo inoltre la particolarità del worm
di infettare alcune tipologie di files html o asp -
MAIN.HTM MAIN.HTML MAIN.ASP INDEX.HTM INDEX.HTML INDEX.ASP
DEFAULT.HTM DEFAULT.HTML DEFAULT.ASP - nei quali include
del codice Javascript capace di scaricare il
worm su macchine di utenti remoti che stanno visitando
una pagina contenuta in un sito infetto.
Per prevenire questa nuova forma di infezione è
sufficiente che il client abbia Internet Explorer
SP 2 o superiore (ricordiamo che dal sito Microsoft
è disponibile l'aggiornamento per Internet
Explorer, denominato SP2, e la patch per Internet
Explorer SP1), in quanto per via della vulnerabilità
denominata "Incorrect MIME Header Can Cause IE
to Execute E-mail Attachment vulnerability" i client
di posta che utilizzano il motore IE (versioni precedenti
alla SP2) per visualizzare pagine HTML eseguiranno in
automatico l'allegato della e-mail
Naturalmente queste forme di prevenzione sono sufficienti
solo per i classici PC stand-alone di casa o d'ufficio,
ma non bastano per i server/client di reti locali, per
i quali sono necessarie altre cautele e procedure di
prevenzione.
|