Nimda kunne mørklagt store deler av Internett

- Med verre nyttelast kunne den multispredende kombiormen Nimda mørklagt store deler av Internett, sier virusanalytiker Snorre Fagerland i Norman.

Norske virusvernere har hatt et slitsomt døgn. Kombi-ormen Nimda har smittet en rekke enkeltbrukere og bedrifter, vesentlig dem med store hull i sine sikkerhetsoppsett og mangelfullt oppdatert virusvern.

Nimda representerer noe grunnleggende nytt, fordi skadekoden sprer seg både fra enkeltbruker til enkeltbruker, fra enkeltbruker til webserver, fra webserver til bruker og fra webserver til webserver. Analytikerne har kartlagt fire ulike spredningsmetoder som Nimda bruker:

  • e-post med smittebærende vedlegg
  • skanning og smitte av sårbare webservere
  • selvkopiering til delte disker i nettverket
  • korrumpering av Javascript på websider som så smitter besøkende

- Det er nettleseren som er det svake punktet hos brukeren, understreker virusanalytiker Snorre Fagerland hos Norman overfor digi.no. - Nimda retter seg direkte mot et spesifikt hull i Internet Explorer, som ble avdekket i mars i år. Mange har unnlatt å oppgradere sin nettleser, og er sårbare. Nimda rammer Microsofts e-postklienter Outlook og Outlook Express gjennom deres integrering med Internet Explorer. Har du ikke oppgradert Internet Explorer siden mars, vil du bli smittet av korrumpert Javascript fra smittede webservere. Bruker du i tillegg en av Microsofts e-postklienter, vil du ikke se at innkommende e-post har et smittebærende vedlegg, og du vil smittes straks e-posten åpnes, selv om du ikke åpner vedlegget.

Fagerland er foreløpig ganske sikker - ut fra analyser og erfaring med rammede kunder - på at brukere av Netscape og Opera, og av e-postklienter som ikke nytter Internet Explorer, ikke er sårbare i samme grad som Microsoft-brukerne. Men de vil selvfølgelig smittes dersom de åpner et smittet vedlegg.

- Vi har ikke identifisert smittende webservere i Norge, selv om det er tydelig at mange norske brukere er smittet gjennom webservere. Norman har identifisert webservere i blant annet Nederland, som både har det skadelige skriptet, og den filen som Nimda-skriptet planter hos den besøkende som uforvarende kjører skriptet.

Oppdaterte virusvarslere vil slå alarm dersom webserveren du besøker har det skadelige skriptet. Det er dette som fikk folk til å tro at Microsofts informasjonsserver for Front Page var smittet, selv om den ikke hadde den smittende filen. Microsoft forklarte at et selskap som bidrar til å oppgradere serveren hadde blitt smittet og overført et smittet skript, men altså uten selve skadefilen.


- Skadevirkningene er ikke så veldig store. Det verste er at alle lokale disker settes på deling. Ellers overskrives et par standardfiler i Windows, blant annet riched20.dll som blant annet Word bruker til å lese rtf-formatet. En annen virkning er økningen av den internasjonale trafikken mot port 80.

Trafikkøkningen skyldes at smittede klienter og servere prøver å oppdage servere som ikke har de siste oppgraderingene til Microsofts webserver IIS, og smitte dem med korrumpert Javascript og den smittebærende filen som Javascriptet skal sørge for å overføre til nettstedets besøkende.

- Vi har logget en trafikkøkning som minner om Code Red i dens velmaktsdager. Angrepene ser ut som helt alminnelige hackerskanninger.

Fagerland mener det er et hell i uhellet at skadevirkningene ikke er verre.

- Poenget er at spredningen er så effektiv, at den spres fra både klienter og servere til både klienter og servere. Med riktig nyttelast kunne store porsjoner av Internett vært mørklagt.

Til toppen