Nimda resuscita e torna a colpire

Il worm che a settembre infettò milioni di server in tutto il mondo torna con una variante invisibile agli antivirus non aggiornati

Cupertino (USA) - Uno dei vermiciattoli per computer più famelici e ingordi degli ultimi tempi, Nimda, è tornato a colpire. Reincarnatosi in una nuova variante, chiamata dalla maggior parte dei produttori di antivirus "Nimda.E", nei giorni scorsi questo worm è riuscito a infettare qualche migliaio di server, fra cui quello del prestigioso New York Times.

Gli esperti di sicurezza hanno tranquillizzato gli utenti facendo sapere che per difendersi da questa nuova variante di Nimda è sufficiente aver installato le patch per Internet Information Server (IIS) e per MIME ormai da lungo tempo disponibili sul sito di Microsoft.

Nimda.E è molto simile al suo "babbo" Nimda.A ma, rispetto a questo, corregge alcuni bug e contiene diverse modifiche che lo rendono invisibile agli antivirus non aggiornati e resistente ai vari cleaner gratuiti che un po' tutte le maggiori case di antivirus rilasciarono a settembre.
La nuova versione di Nimda arriva attraverso un allegato di posta elettronica che si chiama "Sample.exe" e, una volta infettato il sistema, il worm sovrascrive non più il file "admin.dll" bensì "httpodbc.dll" copiando sé stesso nel file "Csrss.exe" al posto del vecchio "Mmc.exe".

I metodi di infezione e propagazione del virus attraverso la rete sono i medesimi di quelli già descritti nello speciale su Nimda pubblicato a settembre da Punto Informatico. Alcune delle principali case antivirus, fra cui Symantec, hanno già rilasciato dei tool gratuiti per la rimozione di questa nuova variante del worm.
TAG: sicurezza