O Nimda se dissemina via e-mail, sites e unidades compartilhadas em redes e infecta sistemas Windows 98, 2000, Me, XP e NT.
Características
O Nimda, "ADMIN escrito ao contrário", também chamado de W32.Nimda.A@mm, é particularmente perigoso porque se espalha não apenas por e-mail, mas também via páginas Web e discos compartilhados em redes.
Ele conseguiu superar as ameaças de seus antecessores Code Red e Sircam, pois procura por até 100 diferentes vulnerabilidades nos sistemas, incluindo as relacionadas ao IIS, da Microsoft.
Alguns usuários do Microsoft Outlook podem ser contaminados simplesmente clicando na mensagem infectada, sem mesmo precisar abrir qualquer arquivo anexo. A mensagem com o Nimda podem chegar com o campo de assunto em branco e nada visível no corpo do e-mail. A praga traz um arquivo chamado readme.exe ou readme.eml como anexo ao e-mail, com 57 KB.
O readme.exe ou readme.eml utiliza o recurso de cabeçalhos mal formados (relativo aos dados que ficam no começo de um arquivo e que permitem ao sistema identificar a que tipo de programa se refere) que faz o computador pensar que se trata de um arquivo de som.
Os servidores Web infectados têm seus arquivos HTML, HTM e ASP modificados e um código em JavaScript incluído, segundo a companhia de segurança Módulo. Desse modo, quando uma página em um servidor infectado é acessada, surge um prompt sugerindo o download de um arquivo .EML (Outlook Express).
Sintomas
O computador infectado tenta acessar unidades de rede compartilhadas com permissão de gravação, que também poderão ser contaminadas, mesmo sem possuir as vulnerabilidades.
Possíveis Danos
A boa notícia é que o Nimda, por enquanto, não traz consigo nenhuma carga destrutiva, segundo o CERT/CC.
Uma vez infectado um sistema, o worm começa a agir como o Code Red, procurando via rede ou Internet por outros equipamentos. Nesse caso, sistemas que filtram arquivos executáveis estarão livres de alguns aspectos do invasor. Porém, como ele se espalha de três formas diferentes, é muito difícil freá-lo, principalmente pelo fato de utilizar unidades compartilhadas, como faz o SirCam.
O Nimda congestiona servidores de e-mail, gerando centenas de mensagens, infecta arquivos .HTM (utilizados em sites) e grava arquivos nos discos rígidos, o que pode acabar com o espaço disponível.
Protegendo-se
Empresas como McAfee , Trend Micro e Symantec já disponibilizaram vacinas.
A maioria dos programas antivírus é capaz de barrar o worm, desde que esteja atualizado com as assinaturas das pragas mais recentes. Além disso, é recomendável tratar com muito cuidado qualquer e-mail suspeito e analisar com o antivírus os arquivos anexos antes de abri-los.
A infecção acontece em computadores vulneráveis a esse problema já conhecido, que possibilita a execução de arquivos enviados, por e-mail, pelo Outlook, sem a necessidade da mensagem ser lida. A Microsoft já liberou uma correção para o problema.
Outra forma para se proteger dessa falha é desativar a função de preview facilmente no Outlook, indo ao menu Exibir-Painel de pré-visualização para desabilitar a função. No Outlook Express, vá também ao menu Exibir e depois escolha a opção Layout. Na caixa de diálogo que surge, desmarque o item Mostrar painel de visualização.
Em ambiente corporativo, os administradores devem instalar o patch relacionado ao IIS, disponibilizado em outubro pela Microsoft para corrigir brechas de segurança, além de manter seus programas de proteção, como antivírus, atualizados. Os usuários domésticos também devem atualizar os softwares de combate a vírus.
