Novi crv Nimda ozbiljna pretnja
----------------------------------------------------------------------
Novi crv koji moze da inficira sve racunare s 32-bitnim Windowsom a
prenosi se koristeci vise razlicitih metoda prosirio se svetom u
utorak pre podne.
FBI trenutno ne veruje da crv ima neke veze s proslonedeljnim
teroristickim napadima na SAD, izjavio je u utorak americki javni
tuzilac Dzon Eskroft. Bilo je nekih nagovestaja da crv ima veze s
napadima jer je u utorak bilo tacno nedelju dana od napada, a crv je
prvi put otkriven u utorak u 9.11 pre podne. (Proslog utorka bio je
jedanaesti septembar a Amerikanci to zapisuju kao 9/11.)
Crva nazvan Nimda (naopacke napisana rec admin), moze da se prenosi u
prilogu poruke poslate e-postom, protokolom za prenos hiperteksta
(Hypertext Transfer Protocol, HTTP) ili preko deljenih diskova u
mrezi. Moze da zarazi sve 32-bitne operativne sisteme Windows -
Windows 98, 2000, Millennium Edition, XP, NT - jer skenira sisteme
trazeci neki od 10 do 100 razlicitih propusta koje potom iskoriscava.
Izgleda kao svajcarski vojnicki nozic ako se ima u vidu broj nacina
koje koristi za napad.
Kada se prenosi e-postom Nimda se krije u prilogu
naslovljenom "Readme.exe". Medjutim, ova Readme datoteka ima
preradjeno zaglavlje (podatke na pocetku sadrzaja pomocu kojih sistem
identifikuje vrstu datoteke) tako da racunar zakljucuje da je to, na
primer, zvucna ili neka druga datoteka. Readme.exe je u stvari
program.
Primalac pokrece izvrsavanje crva kad krene da pregleda poruku. Kada
se crv aktivira kopira samog sebe u sistemski direktorijum pod imenom
load.exe. Takodje se upisuje preko postojeceg sadrzaja datoteke
riched20.dll i samog sebe izmenjuje tako da bude ucitan kao DLL
datoteka. Ovu DLL datoteku koriste aplikacije koje rade s formatom
Riched Text Format, na primer Wordpad.
Da bi se aktivirao pri svakom pokretanju sistema crv menja datoteku
system.ini u odeljku Boot tako sto ubaci sledeci red:
shell=explorer.exe load.exe -dontrunold
Crv koristi MAPI (Mailing API) funkcije da cita korisnikovu e-postu i
iz nje vadi adrese SMTP servera i e-poste i samog sebe salje na te
adrese.
Drugi metod sirenja je Unicode Web Traversal, slican onom koji je
otkriven kod crva CodeBlue (Sifra plavo) registrovanog sedmog
septembra.
Crv se takodje siri i u lokalnim mrezama. Aktivira korisnika Guest
bez lozinke i samog sebe dodaje u grupu Administrator. Disk C:
otvara za deljenje sa svim pristupnim pravima.
Poruke e-poste nisu jedini prenosilac crva jer se on moze ucitati i
sa zarazenog Web servera, automatski ili kao odgovor na pitanje
postavljeno u iskacucem prozoru. U nekim slucajevima posetioce
zarazenih mesta na Mrezi docekace iskacuci prozor s pitanjem da li
zele da ucitaju .eml datoteku (datoteku e-poste Microsoftovog
programa Outlook) koja inace sadrzi kod crva Nimda. U drugim
slucajevima kod se automatski prebacuje na racunar posetioca i bez
pitanja. Kad se datoteka preuzme crv se potom prenosi e-postom.
Kada crv zarazi sistem on skenira svoju lokalnu podmrezu (komad
Interneta) trazeci ranjive sisteme. Oni koji su zasticeni ili
filtriraju priloge u vidu .exe datoteka bice bezbedni, ali zbog
razlicitih metoda sirenja crv se teze zaustavlja.
Administratori sistema koji su na vreme instalirali bezbednosne
zakrpe ne moraju da brinu, rekao je Dzim Desler, portparol
Microsofta. Najnovija zakrpa za Outlook zatvara sve propuste koje
Nimda koristi, bar koliko je Microsoft upucen u situaciju, rekao je
on. Isto vazi i za kumulativnu zakrpu za Internet Information Server
koja je izdata pocetkom leta, rekao je Desler.
Crv se za pola sata prosirio po celom svetu.
Nimda je po svoj prilici mnogo agresivniji i veci od crva Code Red
(Sifra crveno), smatraju analiticari. Code Red je crv koji je nedavno
izazvao velika ostecenja i probleme administratorima sistema sirom
sveta.
Mada Code Red nije izazvao onoliki uticaj na performanse Interneta
koliko se u pocetku strahovalo, postoje misljenja da ce Nimda uspeti
da ga nadjaca.
Povod za ovakva misljenja potekao je na osnovu podataka o srednjem
vremenu odziva odabranog skupa lokacija na Internetu. Ono je u utorak
u jedan sat posle podne u SAD bilo 377 milisekundi umesto prethodno
izmerenih 236 ms, dok je u ponedeljak ujutro iznosilo oko 200 ms.
Americka tela zaduzena za bezbednost racunara Computer Emergency
Response Team/Coordination Center (CERT/CC) i Incidents.org izdala su
u utorak upozorenja o povecanoj aktivnosti na Internetu s napomenom
da se ona moze dovesti u vezu s crvom Nimda.
Detaljnije objasnjenje mozete naci, na primer, na adresi
http://support.centralcommand.com/cgi-
bin/command.cfg/php/enduser/std_adp.php?p_refno=010918-000005 (M.V.)
-I know UNIX, PASCAL, C, FORTRAN,
COBOL, and nineteen other high-tech
words.