Американская Nimda: мифы и реальность
За последнюю неделю про вирус Nimda (админ наоборот) было написано много, появились первые советы и описания методов борьбы. Прочитав почти всё, что было в Рунете про Нимду, наслушавшись чужих историй, приняв во внимание свой собственный опыт помощи пострадавшим, я решился на некое исследование и обобщение проблемы. Сразу предупреждаю: речь идёт об абстрактных людях и организациях. Все совпадения случайны, хотя и закономерны.
Реальность: Нимду подхватили многие
Какие бы мы не были грамотные, умудренные опытом, какие бы у нас не были опытные сисопы и админы (сетевые операторы и администраторы) – Нимду подхватили многие. Казалось бы, у нас уже давно все знают, что запускать полученные почтой программы опасно, даже если письма пришли от друзей. Наоборот – все считают своим долгом предупредить несчастного: «Хватит слать вирус, лечиться надо!!!». Но, повторюсь, не смотря ни на что, за короткий срок заразиться умудрились многие.
Почему так вышло? Ну, с этим все понятно – авторы вируса сделали так, что вложенный файл запускается сам при попытке просмотра письма, а у народа стоят старые версии Outlook с «дырой» в безопасности.
Кто виноват? Сисоп, не установивший обновленные версии программ? Пользователь, не потребовавший обновлений? А может старое «железо» и нежелание сейчас покупать новый компьютер?
Могу поспорить, что не более одной трети читающих эту статью сидят за «крутым третьим пнем» с большой памятью и последним Explorer от Microsoft. А остальным этот Explorer не по ресурсам – тяжеловат и медлителен. Вот вам и результат.
Миф: не пользуйся Microsoft Outlook Express и Нимда не страшна
Как бы не так. Всегда остается вероятность случайного запуска вложенного файла, и авторы просто не сделали автозапуск для прочих почтовых программ. Для Netscape это точно возможно, уже попробовали – работает. По-видимому, у авторов Нимды одной из целей была компрометация продуктов от Microsoft.
Реальность: Нимда рассылает себя по почте
Это правда, но ему весьма далеко до SirCam. Последний был весьма скрытен и почту слал почти непрерывно, но параллельно с пользователем и незаметно для него. А у Нимды это, слава Богу, не очень продумано и весьма заметно. Только последний лопух не обеспокоится, когда при старте Windows вдруг сами собой пытаются отправиться письма.
Миф: нет интернета, нет Нимды
А файлы-то на дискетах носим? Носим. Вот и Нимду подхватить можно. В одной из уважаемых екатеринбургских организаций так и произошло, – Нимда успела заразить нормальное письмо и благополучно попала в закрытую локальную сеть.
Реальность: Нимду можно «подхватить» с сайта
Да, это было. И чтобы не позорить коллег не будем упоминать провинившихся. Замечу только, что заражение происходит точно также как при заражении через почту. Причем это заметно: Нимда часто пытается открыть окно письма от Outlook, а обновленные версии «вывесят» запрос «что делать с файлом?».
Как происходит заражение сайтов? Это очень интересный вопрос. Есть слухи про «дыры» в безопасности в Microsoft Internet Information Server (IIS – программа реализующая WEB-сайт), что де Нимда «пролезает» в IIS и пр. Наверно, в этом что-то есть, особенно если на IIS не стоят последние обновления, но...
Что такое сайт? Это некая программа и набор файлов «лежащих» в каких-то папках. Так как заражаются сайты? Вы догадались? Правильно! Точно так же как и файлы на обычном компьютере. Тут-то и переходим к следующему мифу.
Миф: Нимда заражает сайты только на Microsoft IIS
Это миф. Сервер с IIS просто «стоящий» в локальной сети не у кого еще не заразился. Есть, конечно, вероятность того, что такое было, но сомневаюсь.
Есть несколько вариантов заражения сайта:
Первый. Обновление сайта уже зараженным файлом. Тут все понятно: Нимда заразила уже готовый файл, пользователь его изменил и «выложил» на сайт. В общем-то, ничего страшного – в файле содержится только вызов вируса, а сам вирус не «кладется». Правда, возможен вариант, когда пользователь отправил на сайт не только обновленный файл, а всю папку. Или, что еще хуже, работает какая-нибудь программа для автоматической публикации всех обновленных файлов.
Второй. Слишком ленивый сисоп. Ну, очень забавные люди – сисопы. Они много говорят о безопасности, часто работают под максимальными правами, да делают так, что все и вся и всегда им доступно. В том числе и папки с файлами сайта подключаются как доступные сетевые диски. А это уже совсем плохо! Как результат: попала Нимда на машину сисопа, а с нее уж по всем дискам.
Скажу по секрету: в Екатеринбурге в одной компании, где все «круто», все сервера только на Unix, был заражен сайт. Именно таким способом.
Реальность: от Нимды можно излечиться
Можно, проверено. AVP со свежим обновлением справляется, да и другие уже, наверное, тоже. AVP монитор прилично защищает от заражения (опять же, обновления нужны).
Миф: от Нимды легко излечится
Нужен небольшой экскурс в Нимду. Нимда «безобразничает» следующим образом:
1. «Заражает» Windows и сама себя при старте запускает. «Прибить» ее во время работы сложно – сама себя она хорошо защищает.
2. «Распространяет» себя по электронной почте и, возможно, отсылает ваши файлы из папки «Мои документы».
3. «Загаживает» все папки на всех доступных дисках (в том числе и на сетевых) вполне правдоподобными файлами с собственным кодом. Имена часто берутся на основе имен ваших файлов.
4. Самое неприятное – «портит» системные файлы. Точно уже известен один очень важный файл.
С первым пунктом, в принципе, легко справиться – AVP взял да и «прибил» Нимду. Не получилось под Windows, попробуй под DOS. На ранней стадии можно исправить «руками» – в нужных файлах внести нужные изменения и при перезагрузке удалить известные файлы. Хотя могут быть проблемы.
Со вторым пунктом тоже можно справиться. Админ должен вовремя, до лечения, «остановить» почтовую службу и удалить из очереди еще не отправленные письма с вирусом.
Третий пункт – самый «весёлый». За пару часов работы Нимда может создать тысячи новых файлов, содержащих вирус. А если в сети зверствует пара-тройка версий Нимд? Лечить вы их будете, как говорится, до посинения. Своего. До «зюзиков». В глазах.
Есть один важный момент. Если вы не догадались физически «разорвать» сеть, т.е. все (!) компьютеры физически (!) отключить от локальной сети, то один вы лечите, а другой, еще больной, уже вылеченные будет продолжать «калечить».
Реальность: после лечения от Нимды можно будет нормально работать
Это как в бородатом анекдоте: «Доктор я буду жить? Жить-то будете, но фиго-о-ово!».
Лучше «закачать» и принудительно установить свежие обновления Windows, Explorer, Outlook. Если используете еще что-то – попробуйте установить заново. Тут надо подходить диалектически.
Миф: Нимда ничего реально не портит
Портит, еще как! Про то, что авторы вируса совершили свое деяние, как пишется в милицейских протоколах, «из чувства личной неприязни» к Microsoft – мы уже говорили. Но особенно они не любят Microsoft Office 97! Именно из его комплекта один файл Нимда портит (а точнее полностью переписывает) крайне основательно. Причем не только в системных каталогах, но и в дистрибутивах (если те «лежат» на дисках с возможностью записи). AVP его лечит, но не исправляет! И это финал. Почти фатальный.
Один не очень «умный» сисоп ШЕСТЬ (!) раз переставлял офис – без толку! А проблема-то в том, что испорченный файл «выглядит» как настоящий и имеет дату и версию новее, чем в дистрибутиве и при установке не обновляется! Совет: ищите его чистый и меняйте сами.
Реальность: у Вас нет Нимды? Не обольщайтесь – она у Вас есть!
Вы просто об этом не знаете...
Это шутка. Но, тем не менее, проверьте:
1. А нет ли у Вас на дисках очень большого числа файлов (100 и больше) вида *.eml и *.nws?
2. А не запускается ли у вас при старте сам собой Windows Outlook?
3. А не делает ли ваш компьютер что-то постоянно и сам по себе? «Шуршит» диском, когда вы ничего не делаете, пытается писать на дискеты, когда не просят?
4. Да просто, не стал ли вам «мал» ваш 20-ти гигабайтный винт?
Ну и обновления сделать тоже неплохо бы.
От автора. Я с удовольствием прочитаю Ваши впечатления, мнения, комментарии и советы.
Об авторе. Павел Феоктистов, руководитель Web-студии urfo.org, руководитель и вебмастер проекта Lenta.urfo.org – Агентство электронных новостей (АЭН), вебмастер сайтов Region.urfo.org, Gazeta.urfo.org и портала urfo.org, член Совета директоров ЗАО «Регион-Информ», член Совета директоров ООО «Уральское федеральное обозрение – urfo.org».
Ссылки по теме:
Компьютерный вирус Nimda добрался до отдаленных районов области >>>
Екатеринбургские компьютерщики продолжают отбивать атаки нового вируса >>>
Новый компьютерный вирус атаковал Екатеринбург >>>
Обнаруженный сегодня ночью вирус может быть крайне опасен >>>
© 2001, «Уральское федеральное обозрение»
Публикации, размещенные на сайте newdaynews.ru до 5 марта 2015 года, являются частью архива и были выпущены другим СМИ. Редакция и учредитель РИА «Новый День» не несут ответственности за публикации других СМИ в соответствии с Законом РФ от 27.12.1991 № 2124-1 «О Средствах массовой информации».