В понедельник «Уральское федеральное обозрение – urfo.org» публикует статью вебмастера этого проекта Павла Феоктистова о том, как бороться с новым опасным вирусом, жертвами которого на прошлой неделе стали многие СМИ Екатеринбурга.
Напомним, что из-за проблем с Nimda в среду значительно задержался с отправкой в типографию очередной номер газеты «Вечерние Ведомости из Екатеринбурга». По некоторым данным, компьютеры телекомпании «4 канал» также были атакованы вирусом; на «Областном телевидении» происходили сбои в работе электронной почты. Кроме средств массовой информации, от нашествия «червя» пострадали и другие структуры. К примеру, в Управлении государственной противопожарной службы ГУВД Свердловской области в течение весьма непродолжительного времени вирусом оказались поражены все компьютеры, объединенные в локальную сеть.
В статье «Американская Nimda: мифы и реальность» обобщен личный опыт вебмастера по борьбе с Nimda и последние публикации на эту тему в Интернете.
За последнюю неделю про вирус Nimda (админ наоборот) было написано много, появились первые советы и описания методов борьбы. Прочитав почти все, что было в Рунете про Нимду, наслушавшись чужих историй, приняв во внимание свой собственный опыт помощи пострадавшим, я решился на некое исследование и обобщение проблемы. Сразу предупреждаю: речь идет об абстрактных людях и организациях. Все совпадения случайны, хотя и закономерны.
Реальность: Нимду подхватили многие
Какие бы мы ни были грамотные, умудренные опытом, какие бы у нас ни были опытные сисопы и админы (сетевые операторы и администраторы), – Нимду подхватили многие. Казалось бы, у нас уже давно все знают, что запускать полученные почтой программы опасно, даже если письма пришли от друзей. Наоборот, все считают своим долгом предупредить несчастного: «Хватит слать вирус, лечиться надо!!!». Но, повторюсь, несмотря ни на что, за короткий срок заразиться умудрились многие.
Почему так вышло? Ну, с этим все понятно – вирус устроен так, что вложенный файл запускается сам при попытке просмотра письма, а у народа стоят старые версии Outlook с «дырой» в безопасности.
Кто виноват? Сисоп, не установивший обновленные версии программ? Пользователь, не потребовавший обновлений? А может, старое «железо» и нежелание покупать новый компьютер?
Могу поспорить, что не более одной трети читающих эту статью сидят за «крутым третьим пнем» с большой памятью и последним Explorer от Microsoft. А остальным этот Explorer не по ресурсам – тяжеловат и медлителен. Вот вам и результат.
Миф: не пользуйся Microsoft Outlook Express и Нимда не страшна
Как бы не так. Всегда остается вероятность случайного запуска вложенного файла, и авторы просто не сделали автозапуск для прочих почтовых программ. Для Netscape это точно возможно, уже попробовали – работает. По-видимому, одной из целей авторов Нимды была компрометация продуктов от Microsoft.
Реальность: Нимда рассылает себя по почте
Это правда, но ему весьма далеко до SirCam. Последний был весьма скрытен и почту отправлял почти непрерывно, но параллельно с пользователем и незаметно для него. А у Нимды это, слава Богу, не очень продумано и весьма заметно. Только последний лопух не обеспокоится, когда при старте Windows вдруг сами собой начинают отправляться письма.
Миф: нет Интернета, нет Нимды
А файлы-то на дискетах носим? Носим. Вот и Нимду подхватить можно. В одной из уважаемых екатеринбургских организаций так и произошло, – Нимда успела заразить нормальное письмо и благополучно попала в закрытую локальную сеть.
Реальность: Нимду можно «подхватить» с сайта
Да, это было. И чтобы не позорить коллег, не будем упоминать провинившихся. Замечу только, что заражение происходит точно так же, как при заражении через почту. Причем это заметно: Нимда часто пытается открыть окно письма от Outlook, а обновленные версии «вывешивают» запрос «что делать с файлом?».
Как происходит заражение сайтов? Это очень интересный вопрос. Есть слухи про «дыры» в безопасности в Microsoft Internet Information Server (IIS – программа реализующая WEB-сайт), что-де Нимда «пролезает» в IIS и пр. Наверное, в этом что-то есть, особенно если на IIS не стоят последние обновления, но...
Что такое сайт? Это некая программа и набор файлов, «лежащих» в каких-то папках. Так как заражаются сайты? Вы догадались? Правильно! Точно так же, как и файлы на обычном компьютере. Тут-то и переходим к следующему мифу.
Миф: Нимда заражает сайты только на Microsoft IIS
Это миф. Сервер с IIS, просто «стоящий» в локальной сети, ни у кого еще не заразился. Есть, конечно, вероятность того, что такое было, но сомневаюсь.
Есть несколько вариантов заражения сайта:
Первый. Обновление сайта уже зараженным файлом. Тут все понятно: Нимда заразила уже готовый файл, пользователь его изменил и «выложил» на сайт. В общем-то, ничего страшного – в файле содержится только вызов вируса, а сам вирус не «кладется». Правда, возможен вариант, когда пользователь отправил на сайт не только обновленный файл, а всю папку. Или, что еще хуже, работает какая-нибудь программа для автоматической публикации всех обновленных файлов.
Второй. Слишком ленивый сисоп. Ну очень забавные люди – сисопы. Они много говорят о безопасности, часто работают под максимальными правами, да делают так, что все и вся и всегда им доступно. В том числе и папки с файлами сайта подключаются как доступные сетевые диски. А это уже совсем плохо! Как результат: попала Нимда на машину сисопа, а с нее уж по всем дискам.
Скажу по секрету: в Екатеринбурге в одной компании, где все «круто», все сервера только на Unix, был заражен сайт. Именно таким способом.
Реальность: от Нимды можно излечиться
Можно, проверено. AVP со свежим обновлением справляется, да и другие уже, наверное, тоже. AVP-монитор прилично защищает от заражения (опять же, обновления нужны).
Миф: от Нимды легко излечиться
Нужен небольшой экскурс в Нимду. Нимда «безобразничает» следующим образом:
1. «Заражает» Windows и сама себя при старте запускает. «Прибить» ее во время работы сложно – сама себя она хорошо защищает.
2. «Распространяет» себя по электронной почте и, возможно, отсылает ваши файлы из папки «Мои документы».
3. «Загаживает» все папки на всех доступных дисках (в том числе и на сетевых) вполне правдоподобными файлами с собственным кодом. Имена часто берутся на основе имен ваших файлов.
4. Самое неприятное – «портит» системные файлы. Точно уже известен один очень важный файл.
С первым пунктом, в принципе, легко справиться – AVP взял да и «прибил» Нимду. Не получилось под Windows, попробуй под DOS. На ранней стадии можно исправить «руками» – в нужных файлах внести нужные изменения и при перезагрузке удалить известные файлы. Хотя могут быть проблемы.
Со вторым пунктом тоже можно справиться. Админ должен вовремя, до лечения, «остановить» почтовую службу и удалить из очереди еще не отправленные письма с вирусом.
Третий пункт – самый «веселый». За пару часов работы Нимда может создать тысячи новых файлов, содержащих вирус. А если в сети зверствует пара-тройка версий Нимд? Лечить вы их будете, как говорится, до посинения. Своего. До «зюзиков». В глазах.
Есть один важный момент. Если вы не догадались физически «разорвать» сеть, т.е. все (!) компьютеры физически (!) отключить от локальной сети, то один вы лечите, а другой, еще больной, уже вылеченные будет продолжать «калечить».
Реальность: после лечения от Нимды можно будет нормально работать
Это как в бородатом анекдоте: «Доктор, я буду жить? Жить-то будете, но фиго-о-ово!».
Лучше «закачать» и принудительно установить свежие обновления Windows, Explorer, Outlook. Если используете еще что-то – попробуйте установить заново. Тут надо подходить диалектически.
Миф: Нимда ничего реально не портит
Портит, еще как! Про то, что авторы вируса совершили свое деяние, как пишется в милицейских протоколах, «из чувства личной неприязни» к Microsoft – мы уже говорили. Но особенно они не любят Microsoft Office 97! Именно из его комплекта один файл Нимда портит (а точнее полностью переписывает) крайне основательно. Причем не только в системных каталогах, но и в дистрибутивах (если те «лежат» на дисках с возможностью записи). AVP его лечит, но не исправляет! И это финал. Почти фатальный.
Один не очень «умный» сисоп ШЕСТЬ (!) раз переставлял офис – без толку! А проблема-то в том, что испорченный файл «выглядит» как настоящий и имеет дату и версию новее, чем в дистрибутиве и при установке не обновляется! Совет: ищите его чистый и меняйте сами.
Реальность: у Вас нет Нимды? Не обольщайтесь – она у Вас есть! Вы просто об этом не знаете...
Это шутка. Но, тем не менее, проверьте:
1. А нет ли у Вас на дисках очень большого числа файлов (100 и больше) вида *.eml и *.nws?
2. А не запускается ли у вас при старте сам собой Windows Outlook?
3. А не делает ли ваш компьютер что-то постоянно и сам по себе? «Шуршит» диском, когда вы ничего не делаете, пытается писать на дискеты, когда не просят?
4. Да просто, не стал ли вам «мал» ваш 20-гигабайтный винт?
Ну и обновления сделать тоже неплохо бы.
От автора. Я с удовольствием прочитаю Ваши впечатления, мнения, комментарии и советы. Пишите на nimda.net@urfo.org
Об авторе. Павел Феоктистов – руководитель Web-студии urfo.org, руководитель и вебмастер проекта Lenta.urfo.org – Агентство электронных новостей (АЭН), вебмастер сайтов Region.urfo.org, Gazeta.urfo.org и портала urfo.org, член Совета директоров ЗАО «Регион-Информ», член Совета директоров ООО «Уральское федеральное обозрение – urfo.org».
Ссылки по теме:
Компьютерный вирус Nimda добрался до отдаленных районов области >>>
Екатеринбургские компьютерщики продолжают отбивать атаки нового вируса >>>
Новый компьютерный вирус атаковал Екатеринбург >>>
Обнаруженный сегодня ночью вирус может быть крайне опасен >>>
© 2001, «Уральское федеральное обозрение»
Постоянный адрес статьи: http://www.nr2.ru/urfo.org/17_1304.asp
Екатеринбург, Регион-Информ, Михаил Дежнев
Отправляйте свои новости, фото и видео на наш мессенджер +7 (901) 454-34-42
© 2001, «Регион-Информ»
Публикации, размещенные на сайте newdaynews.ru до 5 марта 2015 года, являются частью архива и были выпущены другим СМИ. Редакция и учредитель РИА «Новый День» не несут ответственности за публикации других СМИ в соответствии с Законом РФ от 27.12.1991 № 2124-1 «О Средствах массовой информации».