CUPERTINO, Калифорния - 19 сентября 2001 -
Корпорация Symantec (участвует в торгах на бирже Nasdaq под символом SYMC), мировой лидер в Internet-защите, сегодня распространила новый анализ сетевого червя W32. Nimda. A@mm
Он показывает, что саморазмножающийся вирус содержит дополнительное разрушительное вложение, которое требует обнаружения и уничтожния. Новый анализ подтверждает, что саморазмножающийся вирус представляет собой файл infector, поверх которого записан файл с расширением .exe.
W32. Nimda. A@mm - массовый почтовый саморазмножающийся вирус, который использует множественные методы распространения. Саморазмножающийся вирус отсылает себя электронной почтой, инфицирует машины по сети, и инфицирует неисправленный или уязвимый Microsoft IIS веб-сервер. Саморазмножающийся вирус также имеет различные побочные эффекты типа увеличения сетевого трафика, который может вызывать сетевые проблемы пропускной способности. W32. Nimda. A@mm также будет пытаться создавать бреши в защите, создавая учетную запись гостя с привилегиями администратора и создавая открытые ресурсы на инфицированной системе.
И единичные пользователи и предприятия могут быть инфицированы разнообразными путями.
- Электронная почта
Приходит e-mail с вложением readme.exe, которое не всегда видимо и содержит беспорядочно сгенерированную подчиненную строку и пустое тело сообщения.
Саморазмножающийся вирус может использовать собственный механизм SMTP, чтобы послать себя по электронной почте используя почтовые ящики входящей и исходящей почты в почтовой программе. Только открытие электронной почты может инфицировать PC пользователя.
Для самого последнего исправления защиты Microsoft, посетите http: //www.microsoft.com/windows/ie/download/c ritical/q290108/default.asp.
- Сетевые диски общего пользования
Пользователи PC с общедоступным дисками также в опасности. Саморазмножающийся вирус проводит исследование открытых сетевых ресурсов и пытается копировать себя в эти системы, а затем запускается.
- Сайты
Когда пользователи посещают «скомпрометированный» сайт, сервер выполняет загрузку файла, который содержит W32. Nimda. A@mm. Саморазмножающийся вирус создаст открытый сетевой ресурс на машине, позволяющей доступ к системе. W32. Nimda.A @ mm специализирован под версии ISS-серверов, подобно Red Code.
Администраторы должны загрузить исправление защиты Microsoft для IIS 4.0 по адресу http: // www.microsoft.com/downloads/Release.asp? ReleaseID=32061 и для IIS v5.0 в http: // www.microsoft.com/downloads/Release.asp? ReleaseID=32011.
Служба Symantec Security Response рекомендует, чтобы администраторы осуществили следующие действия для того, чтобы остановить распространение W32. Nimda. A@mm:
- блокировать сообщения электронной почты, содержащие "readme.exe" вложение;
- обновить вирусные определения и убедиться, что файерволлы правильно конфигурированы; --
- загрузить самые последние модификации защиты для Enterprise Security Manager и NetRecon (программные решения от Symantec);
- установть IIS Unicode Transversal исправление защиты;
- устранить нечетко сформированные исправление защиты выполнения заголовка MIME;
- закрыть диски сетевого ресурса для совместного использования.
Дополнительно, потребители могут защищать себя против нового саморазмножающегося вируса, осуществляя следующее:
- использовать LiveUpdate Symantec, чтобы получить самые последние вирусные определения;
- использовать особенность Модификации Windows, расположенную в меню "Start" на Windows 95 и более высоких версиях, чтобы загрузить новые исправления защиты;
- отключить опцию "Загрузка Файла" в Internet Explorer, чтобы предотвратить проникновение.
Symantec в настоящее время обеспечивает интегрированное обнаружение и защитное решение против W32. Nimda. A@mm.
Oдной операцией пользователи могут загружать средство, которое одновременно обнаружит саморазмножающийся вирус и восстановит поврежденные файлы. « Использование смешанных Internet –угроз, таких как комбинация вирусов, например, имеющее своей целью проникновение в активы и их уничтожение, встречается все чаще и чаще, - сказал Винсент Веафер (Vincent Weafer), директор службы Symantec Security Response.- Впервые, чтобы сразиться с такой быстрой угрозой распространения, Symantec интегрировал свои решение для W32. Nimda. A@mm, чтобы обнаруживать заражение и производить восстановление поврежденной информации одной операцией. Интегрированное решение отличается быстротой и предотвращает дополнительные заражения.»
Новые определения доступны через LiveUpdate для пользователей Symantec или на сайте www.securityresponse.symantec.com/avcen ter/download.html.
Symantec обеспечивает дополнительную защиту против W32. Nimda. A@mm через следующие решения:
Enterprise Security Manager - система управления уязвимостью, предоставляющая администратору справки управление функциями модификации исправления защиты. и возможность создавать новые шаблоны исправлений, которые обнаруживают основную уязвимость на серверах Windows 2000 и Windows NT 4.0.
NetProwler – сетевой инструмент обнаружения вторжения, с Модификацией Защиты, обнаруживает попытки нападения на IIS 4.0 и 5.0 серверов через обнаруженную уязвимость.
NetRecon - прикладная инспекционная межсетевая защита Symantec предусматривает экспортный трафик данных от серверов сети, подобно IIS, при действии на сервисной сети межсетевой защиты, таким образом прозводится остановка распространения данного, также как других типов нападений.
