•  
•  
•  
•  

6 Reacties Bewaren

De Nimda-worm verspreidt zich sinds dinsdag in razend tempo over het internet. Alle 32-bit Windows systemen kunnen er last van krijgen.

Nimda (admin achterstevoren gespeld) verspreidt zich op een aantal manieren over het internet. Via e-mail attachments, internetpagina's of via geïnfecteerde schijven op een netwerk. "Hoewel de worm niet zo heel ingenieus in elkaar zit, is hij wel zo geprogrammeerd dat hij zich in een razend tempo kan verspreiden en voor overlast kan zorgen", zegt André Post van het Symantec Antivirus Research Center (SARC).

Al snel ging het gerucht dat de worm iets te maken had met de gebeurtenissen in de Verenigde Staten. Nimda stak dinsdag de kop op, precies een week na de aanslagen In New York en Washington. In een officiële verklaring laat de FBI weten vooralsnog niet in deze theorie te geloven.

Het wormvirus Nimda gaat op een eenmaal geïnfecteerde computer op zoek naar tussen de tien en honderd bekende veiligheidsproblemen in het Windows-systeem. Heeft het wormvirus eenmaal een probleem gevonden dan maakt hij daar misbruik van en verspreidt zich verder.

Volgens Post zorgt Nimda vooralsnog niet voor echt grote problemen op geïnfecteerde computers. "De worm richt niet veel schade aan in de zin van dat het besturingssysteem onklaar gemaakt wordt of dat programma's niet meer werken. Het is wel zo dat de worm voor grote overlast zorgt", zegt Post. "Op economisch gebied kan de worm wel degelijk voor grote problemen zorgen. Denk maar aan geïnfecteerde bedrijfsnetwerken die weer in de oude staat teruggebracht moeten worden. Daar gaat heel wat tijd inzitten om de schade te herstellen."

Drie verspreidingsmanieren

Nimba kan zich op een aantal manieren verspreiden. De meest voor de hand liggende is via e-mail. De worm kan zich manifesteren als een attachment met de naam 'Readme.exe'.

Dit geïnfecteerde bestand heeft echter een corrupte 'header'. In de header is informatie te vinden over het bestand in kwestie. Verder staat daar tevens in aangegeven op welke manier het systeem dit bestand mag benaderen.

"De aangepaste header laat de computer denken dat het hier om een wav-bestand gaat. In feite is 'readme.exe' een programma. Het programmaatje wordt vervolgens uitgevoerd en de computer raakt geïnfecteerd", zegt Roger Thompson van TruSecure. "Ook als de gebruiker het mailtje slechts in de preview bekijkt, kan readme.exe uitgevoerd worden."

Een andere verspreidingsmanier is via internetpagina's. Hoewel die kans kleiner is, is dit wel een reële manier. Als een internetsurfer op een webpagina komt die gehost is op een geïnfecteerde webserver bestaat de kans dat het geïnfecteerde bestand op de computer gedownload wordt. Dit kan automatisch gebeuren of via een pop-up venster.

Volgens Post loopt een gebruiker risico om de worm op deze manier te ontvangen als hij de beveiliging in de browser op 'medium' of lager heeft staan. "Dit in combinatie met een systeem waarop de gebruiker niet de door Microsoft beschikbaar gestelde patches geïnstalleerd heeft."

Tot slot is het mogelijk dat de worm zich op een harde schijf op een netwerk nestelt en zich op die manier verspreidt over verschillende computers.

Patch

Nimda maakt gebruik van al eerder aan het licht gekomen veiligheidsproblemen in Windows. Volgens Microsoft kunnen gebruikers die al eerder patches geïnstalleerd hebben niet geïnfecteerd raken. Ook kunnen ze het virus niet verder verspreiden. Een patch voor het probleem is te vinden op de website van Microsoft.