Nimda-ormen kan bryte ut på nytt

Maskiner som ikke er renset for Nimda, vil sende ut e-post med infiserte vedlegg hver tiende dag, viser nye analyser av koden.

Nimda er en kombiorm med flere sprednings metoder. De mest effektive har vært smitte til klienter fra websider på infiserte servere, og portskanning mot servere fra infiserte klienter og servere. Smitte gjennom infiserte vedlegg ved automatisk utsending av e-post har vist seg å være langt mindre effektiv.

En av årsakene kan være at koden i Nimda for å styre e-postutsendinger, legger funksjonen død i perioder på ti dager. E-postutsending aktiveres bare hver tiende dag etter at maskinen er smittet, ifølge ZDNet som siterer flere virusanalytikere.

Siden den første smitten var 18. september, frykter man en ny smittebølge fra og med i dag, 28. september.

En faktor som kan bidra til å minske faren for en ny bølge, er at øvrige deler av Nimda-koden forårsaker synlige skadevirkninger som får brukere til å fjerne viruset. Har du renset maskinen din etter framgangsmåtene lagt ut av virusvernselskapene, risikerer du ikke at Nimda aktiveres igjen.


På den andre siden har det vist seg at Nimda er svært vanskelig å oppdage for mange vanlige PC-brukere. Disse risikerer nå å bli kilder til en ny bølge infiserende e-post.

En enkel måte å sjekke om din PC er smittebærer, er å bruke Windows' søkefunksjon til å finne filen riched20.dll. Hvis du har flere eksemplarer enn det ene du skal ha i katalogen windows\system, kan du være smittet*. I så fall bør du snarest ta en av de mange gratis kurene som virusvernerne har lagt ut, som Norman, Symantec, Trend Micro, F-Secure og så videre.

-------------
* PS! Nimda kopierer riched20.dll-filen til alle mapper som inneholder .doc-filer. De stedene på harddisken du bør sjekke grundigst, er mapper hvor du normalt bare oppbevarer dokumenter og ikke eksekverbare programmer.

Til toppen