Analytikere frykter ukjente skader fra Nimda

Selv om Nimda-smitten kan være i ferd med å gi seg, frykter eksperter nye, ukjente bakdører og angrep mot personvernet. Den innviklede koden er langtfra ferdig analysert.

Fredag var det allment antatt at Nimda var i ferd med å tape terreng. Den største aktiviteten ble observert tirsdag i USA, onsdag i Asia, og fredag i Europa. Den primære spredningsmetoden synes å være portskanning for å smitte servere, enten gjennom en bakdør etterlatt av Code Red II, eller gjennom andre kjente sikkerhetshull i Microsofts webserver IIS (Internet Information Server). Smittede webservere får infiserende skript som påheng på alle filer av typen htm, html og asp. PC-er som brukes til å lese disse filene blir infisert uten varsel dersom de kjører ikke-oppgraderte utgaver av Microsofts nettleser Internet Explorer versjon 5.5 SP1 eller tidligere, og gjøres til smittebærere mot andre PC-er gjennom fildeling, og mot servere gjennom portskanning. Lokale nettverk belastes hardt gjennom trafikken som Nimda genererer, både på grunn av ureglementert filoverføring, og fordi Nimda leter etter nye ofre i det nærliggende området for IP-adresser. Ren e-post-spredning synes minimal, noe som bekreftes av tall fra Itegra AS, et selskap som renser e-post for store kunder i Norge.

Etter det digi.no skriv før helgen om oppsiktsvekkende avvik i tallmaterialet, synes Trend Micro å ha revidert sine tall for smittede maskiner i Norge. (Se artikkelen Uforklarlige avvik i Nimda-rapporter.) Men fortsatt er Norge overrepresentert. Trend Micro-tall for de siste sju dagene viser 39.000 infiserte maskiner i Norge mot 166.000 i hele Europa, men bare 403 tilfeller i Sverige. Forholdet mellom Nimda-smitte og Sircam-smitte de siste sju dagene er 46 til 1 i Norge, 20 til 1 i Europa, 27 til 1 i Nord-Amerika og 23 til 1 i verden som helhet.

Eksperter digi.no har vært i kontakt med, understreker at det er vanskelig for vanlige PC-brukere å oppdage at de er smittet. Siden en av virkningene er at systemfilen riched20.dll kopieres til en rekke andre mapper enn windows\system, vil søk etter denne filen raskt avsløre om du er infisert. Bruk "Søk etter filer og mapper" fra Start-menyen i Windows. Finner du flere kopier av denne filen, er du sannsynligvis infisert - og plager andre. For å rense PC-en, kan du ty til gratisverktøy som er lagt ut av de fleste virusvernselskapene, som Norman, Symantec, Trend Micro, F-Secure og så videre.

Analytikerne er ikke ferdige med å finne ut av den 57 kB lange koden. I uttalelsene de siste dagene er det lagt stadig større vekt på personvernet og på muligheter for ytterligere angrep i tillegg til de ødeleggelsene Nimda selv utfører.

Ormen oppretter gjestekonti på servere og arbeidsstasjoner under Windows NT og 2000, og fildeling på klienter under Windows 95, 98 og Me. Det innebærer at utenforstående får fri tilgang til maskinenes indre. Smittede servere får sin sikkerhet omkonfigurert, slik at all vern av innsamlede følsomme opplysninger, for eksempel brukerpassord og annen personlige informasjon, gjøres tilgjengelig for utenforstående. Analytikerne frykter at koden i tillegg kan installere bakdører, slik at utenforstående kan gjenopprette kontakt med - og oppnå kontroll over - smittede maskiner etter at de har gjennomgått vanlig rens. Det fryktes også at eventuelle bakdører kan brukes til tjenestenektangrep - "DoS eller "denial of service" - eller til nye ormangrep, på samme måte som Nimda benytter bakdører satt på plass av Code Red II.

Newsbytes rapporterte fredag kveld norsk tid at til sammen over tretti representanter for Bush-administrasjonen, U. S. Department of Defense, U.S Department of Justice, store Internett-tilbydere, virusvernere og sikkerhetsselskaper hadde et møte hos SANS Institute for å oppsummere Nimdas egenskaper og bekjempelsen av den. Det ble etterpå igjen understreket overfor pressen at Nimda-koden er uhyre kompleks, og - anonymt - antydet at det fortsatt kan være sprednings- og smittemetoder som ikke er kartlagt.


Noen mener følgelig at den eneste måten å virkelig kvitte seg med Nimda er å ta ned infiserte maskiner og reinstallere operativsystemet og all programvare, inklusiv alle anbefalte sikkerhetsoppgraderinger.

Dette inntrykket forsterkes av meldinger fra flere organisasjoner at de er smittet på ny etter å ha rensket opp, og at de er store problemer med å gjennomføre en fullstendig opprenskning. Noen har erfart at det er nok med en infisert PC hos en ansatt som arbeider hjemmefra, til at Nimda igjen sprer seg i rekordfart gjennom nettverket. Da dukker delte disker igjen opp i organisasjonen, med smittende tråder og lammende ekstra trafikk. Andre erfarer at ny smitte invaderer nettverket under selve opprenskningen.

Gartner Group anbefaler sine kunder å se på alternativer til Microsofts webserver IIS (Internet Information Server), for eksempel Apache eller iPlanet. Begrunnelsen er dels at disse har bedre sikkerhet - selv om det også hos dem er avslørt sikkerhetshull - dels at de ikke står under så hardt press fra det store tallet på virus- og ormmakere som fokuserer sin virksomhet mot Microsoft.


Internett-tilbydere i USA har begynt å iverksette sanksjoner mot kunder som ikke følger opp alminnelige sikkerhetstiltak. Verken Code Red eller Nimda infiserer servere som er oppgradert i tråd med Microsofts anbefalinger. PC-er som har tettet kjente sikkerhetshull i til Internet Explorer 5, risikerer heller ikke automatisk smitte fra Nimda. Tiltakene mot risikokunder varierer fra å motta en vennlig men bestemt anmodning om å oppgradere systemet, til utelukkelse ved at tilbyderen tar ned forbindelsen og endrer passordet.

Disse reaksjonene skal gjelde et mindretall blant kundene. De er mottatt med begeistring fra mer sikkerhetsbevisste kunder som er lei av all den ødeleggende trafikken som ormene genererer.

I et tilfelle skal en Internett-tilbyder ha kuttet ut en fjerdedel av sine webserver-kunder, i et forsøk på å opprettholde tjenestenivået til dem som hadde gjort det som var nødvendig for å unngå smitte.

Det synes å være langt igjen før man finner fram til opphavet til Nimda. En teori som skal undersøkes nærmere, er at ormen kan ha vært satt ut bevisst på flere nettverk. Den bygger på rapporter om at de første utbruddene ble oppdaget samtidig, rundt klokken 9 om morgenen Washington-tid, tirsdag 18. september. At dette var nøyaktig én uke etter angrepene mot World Trade Center i New York, er foreløpig ikke gjenstand for spekulasjoner.

Torsdag anslo Computer Economics Inc at Nimda hadde smittet 2,2 millioner datamaskiner verden over, og forårsaket skader for 370 millioner dollar. Dersom analytikernes bange anelser slår til, kan disse tallene fort stige.

Til toppen