Judit
3 °C
6 °C

Védekezés a Nimda-féreg ellen

2001.09.20. 12:52
A Nimda féregvírus szörfölés közben támad, néhány levelezőprogramban pedig anélkül aktiválódik, hogy a felhasználó megnyitná a csatolt állományt. Helyi hálózatokon hasonlóképp a felhasználók segítsége nélkül terjed. Ennek ellenére léteznek eszközök és eljárások a rafinált vírus elleni védekezésre.
A Nimda négyféle úton juthat be egy Windowst futtató gépre. Egyrészt egy fertőzött rendszer által hostolt weboldal felkeresésével, aztán különlegesen megírt fejlécű, HTML-oldalként érkező e-mail csatolt fájljával, esetleg megosztott hálózati hozzáféréseken át, illetve a frissítés nélküli Microsoft IIS 4.0 és 5.0 rendszerek révén.

Leginkább az Explorer 5.x felhasználóit sújtja

A minden figyelmeztetés nélkül bekövetkező fertőzéstől a legutolsó adatok szerint kizárólag azok az internetezők tarthatnak, akik Windows alatt az Internet Explorer 5.x böngészőt használják. A korábbi változatok nem értik az alkalmazott Java-kódot, és a fertőzött oldal felkeresésekor hibaüzenetet adnak.

A Microsoft által kiadott Service Pack 2 az IE 5.0, illetve 5.5 esetében legalább a féregvírus figyelmeztetés nélküli behatolását megakadályozza. Ez annyit tesz, hogy a frissítés felrakása után a Nimdával fertőzött oldalak kinyitásakor a böngésző engedélyt kér, hogy lefuttassa a vírust. Ugyanezt teszi az IE 6-os böngésző is.

Egy 'biztonságos' böngésző telepítése után is ajánlatos különös figyelemmel kezelni a kinyíló párbeszédpaneleket. Ha engedélyt kér egy olyan fájl letöltésére, megnyitására vagy telepítésére, amire azon az oldalon nem számítottunk, kétséges esetben jobb megtagadni az engedélyt. Ideiglenes védelmet nyújthat az érintett IE-változatok esetében a JavaScript és az Active Scripting letiltása.

Védtelenek a levelezőprogramok is

Az e-mailek olvasása közben úgy fertőződhet meg a gép, ha a levelezőprogram a megjelenítésre az Internet Explorert használja. Az így viselkedő programok közé tartozik a Microsoft Outlook és az Outlook Express mellett az Eudora, a Lotus Notes és az AK-Mail.

Az ilyen fertőzés összeszedése ellen is segítséget jelent a Microsoft-böngésző frissítése. De ebben az esetben is csak a féregvírus figyelmeztetés nélküli behatolását lehet elkerülni. A Win32.Nimda-t tartalmazó csatolt állomány (readme.exe) szándékos megnyitása ellen a patch semmit nem ér.

A féregvírust hordozó levelekben feltüntetett feladó egyébként nem bizonyíték arra, hogy az a felhasználó is meg van fertőzve. A virtuális kártevő van annyira rafinált, hogy esetenként hamis címet használjon.

Helyi hálózaton veszélyes a megosztás

A helyi hálózatokon (LAN) való elterjedésre a Nimda a megosztott dossziékat használja. A veszély minimálisra csökkentésére ellenőrizni kell, hogy az érvényes megosztások valóban szükségesek-e. Segíthet még a más felhasználók számára biztosított jogok korlátozása is (csak olvasás).

A gép esetleges fertőzöttségének ellenőrzésére az a legegyszerűbb eljárás, ha az alapértelmezett Windows-könyvtárban megnézzük, van-e benne 57 344 bájt méretű, load.exe nevű állomány.

A féregvírus eltávolítását jobb vírusirtó programokra bízni. A nagy víruskeresőkhöz már elkészültek a frissítések, és a cégek a honlapjukon feltűnő helyen figyelmeztetnek a gyorsan terjedő féregvírusra. Alant a legnagyobb vírusirtógyártók oldalaira találhatnak linkeket.