Новый и весьма опасный вирус Nimda, о появлении которого стало известно накануне, запускается автоматически из почтовой программы Outlook, если в ней включена опция предварительного просмотра сообщений. Компания Panda Software рекомендует пользователям обновить свои антивирусные программы, прежде чем запускать Outlook или Outlook Express.

По сообщению Panda, новый вирус распространяется по e-mail благодаря уязвимости в браузере Internet Explorer 5 и почтовых клиентах Outlook и Outlook Express, обнаруженной Хуаном Карлосом Гарсией Куартанго (Juan Carlos Garcia Cuartango). В данном случае проявляются две основные черты уязвимости: с одной стороны, вирус использует HTML-код, генерирующей фрейм. С другой стороны, применяется приложение (аттачмент) в кодировке base64, помеченное как звуковой файл audio/x-wav. В результате вирус "обманывает" почтовые программы Microsoft, передавая файл, который автоматически запускается при открытии сообщения.

После заражения вирус пытается разослать самого себя, используя команды SMTP. Чтобы собрать e-mail'ы жертв, он загружается в почтовую систему через SimpleMAPI и затем сканирует сообщения в поисках адресов. Вдобавок стоит отметить, что тело письма содержит следующую строчку, которая несет информацию о возможном происхождении вируса: "Concept Virus(CV) V.5, Copyright (C)2001 R.P.China"

Если на компьютере установлена ОС Windows 9x, вирус копируется в директорию Windows/System/ в виде скрытого (hidden) файла с именем LOAD.EXE. Кроме того, червь добавляет в файл SYSTEM.INI следующую строчку, которая обеспечивает его запуск при каждой загрузке системы:

Shell=explorer.exe load.exe -dontrunold

Затем он копирует скрытый файл riched20.dll в ту же директорию Windows/System/, что позволяет вирусу запускаться каждый раз при открытии приложения, использующего этот DLL (например, Wordpad).

На компьютере с установленными Windows NT или Windows 2000 червь создает файл LOAD.EXE в директории Winnt/System32/ и создает пользователя с логином guest, включая его в группу локальных администраторов. После этого он загружается под этим логином и открывает доступ к диску C: как C$.

Наконец, червь использует еще одно уязвимое место в IIS, изменяя содержимое нескольких html и asp файлов так, что при их просмотре открывается файл формата сообщений Outlook Express readme.eml, содержащий код вируса. В число этих файлов входят index.html, index.asp, readme.htm, main.html, main.asp, default.htm, index.htm, readme.html, readme.asp, main.htm, default.html и default.asp.

В этом случае, если Internet Explorer имеет любую из упомянутых уязвимостей, он немедленно откроет файл readme.exe, присоединенный к сообщению readme.eml.

Необходимо отметить, что система с такими уязвимостями в Internet Explorer запустит зараженные файлы .eml автоматически при каждой проверке опции "Отображать Web-содержимое на рабочем столе". Это, несомненно, наиболее серьезное действие, вызванное данной уязвимостью.

Для защиты компьютеров компаний от этого нового вредоносного вируса Panda Software рекомендует следующие действия:

Обновить антивирус перед открытием почтовых программ. После этого необходимо просканировать все сообщения и системные файлы.

Установить максимальный уровень безопасности в Internet Explorer'е.

Обновить IIS-сервер.

Убедиться, что в опциях рабочего стола установлено "Использовать классический рабочий стол Windows", а не "Отображать Web-содержимое на рабочем столе". Это предотвратит автоматический запуск зараженных файлов .eml простым нажатием на них.

Кроме того, можно проверить свой компьютер на наличие этого червя и даже нейтрализовать его в случае обнаружения с помощью бесплатной утилиты Panda ActiveScan, которая доступна на сайте http://www.pandasoftware.com/. Об этом сообщает "Аккумулятор Новостей".