Nimda
est un virus de mail qui se présente sous la forme d'un message
dont le titre est aléatoire, dont le corps est vide,
accompagné d'un fichier joint nommé généralement
README.EXE (une extension .WAV et .COM est également
possible). Le virus s'exécute automatiquement à
l'ouverture du mail ou lors de son affichage dans la fenêtre
de prévisualisation d'Outlook, si le navigateur est
une version 5 d'Internet Explorer non patchée contre
une vulnérabilité MIME.
Si le
fichier joint est exécuté, le virus se copie dans le répertoire
System de Windows sous le nom MMC.EXE, récupère
les adresses emails présentes dans les pages web et
la messagerie de l'ordinateur, puis s'y envoie automatiquement
grâce à son propre serveur SMTP. Sur un serveur
web Microsoft IIS 4.0 ou 5.0 non patché contre la vulnérabilité
"Unicode Web Traversal" (Microsoft Security Bulletin
MS00-078) ou précédemment contaminé par
le virus Code Red II, Nimda modifie
les pages en .HTM, .HTML et .ASP pour que les internautes
qui visitent les sites hébergés sur ce serveur
téléchargent un mail au format .EML contenant
le virus, voire exécutent automatiquement et à
leur insu ce dernier dans le cas évoqué plus
haut. Attention : le fichier MMC.EXE peut correpondre à
une application saine, et notamment à la Microsoft
Management Console, donc il ne faut pas supprimer ce fichier
sans avoir confirmé l'infection avec un antivirus ou
un utilitaire de désinfection.
Particulièrement
virulent, Nimda partage en écriture le disque de la
machine infectée, tente de se transmettre aux autres
ordinateurs du réseau via les dossiers partagés,
tente de saturer les serveurs de mail, mais peut également
scanner massivement le port 80 des serveurs web et provoquer
ainsi des dégradations de peformance voire des dénis
de service. Les administrateurs concernés doivent donc
appliquer de toute urgence le patch correctif.
Attention
: un courrier électronique circule avec en pièce
jointe un fichier FIX_NIMDA.EXE contaminé par un troyen.
Faussement co-signé par l'éditeur Trend Micro
et le site Securityfocus, ce message est intitulé "Possible
Nimda Worm infection" et incite l'internaute à
l'exécuter l'utilitaire joint pour rechercher et supprimer
le virus Nimda. Supprimez ce mail dès réception et si besoin
téléchargez l'utilitaire de désinfection auprès d'une
source sûre.
Nimda.B
est une variante compressée du virus qui se présente
sous la forme d'un message PUTA!!.EML comportant une pièce
jointe nommée PUTA!!.SCR (économiseur d'écran).
Les précautions prises pour ne pas être infecté
par Nimda.A suffisent à se prémunir contre cette
variante.
Nimda.E
est une nouvelle variante qui se présente sous la forme
d'un message comportant une pièce jointe nommée
SAMPLE.EXE. Son comportement est identique à Nimda.A,
mais cette variante se copie sur le disque sous le nom CSRSS.EXE
et n'est pas détectée par les antivirus mis
à jour pour Nimda.A.
Télécharger
FIXNIMDA (Symantec) pour rechercher et éliminer
Nimda.A
Télécharger
FIXNIMDAE (Symantec) pour rechercher et éliminer
Nimda.E
L'alerte
du CERT concernant Nimda
Le Microsoft
Security Bulletin MS00-078 avec le patch correcteur pour
serveur web Microsoft IIS
Le site
Windows Update pour mettre à jour Internet Explorer (ou
sinon la page
d'accueil d'Internet Explorer)
Abonnement gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
Jeux
en ligne: gare au virus Nimda
28/06 - Cyberpresse (lire
l'article)
Une
équipe de Microsoft propage un virus... par accident
17/06 - ZDNet (lire
l'article)
Nimda
fait de la résistance
10/05 - Réseaux & Télécoms (lire
l'article)
Nimda.E,
un clône plus robuste du ver le plus agressif de tous
les temps
31/10 - JDNet (lire
l'article)
Un
virus déguisé en antivirus
05/10 - 01net (lire
l'article)
Nimda
aura frappé une seule fois et coûté "seulement"
590 millions de dollars
04/10 - JDNet (lire
l'article)
Le
virus Nimda a raté son come-back
01/10 - ZDNet (lire
l'article)
Les
réveils de Nimda
28/09 - 01net (lire
l'article)
Confrontés
à Nimda, les fournisseurs d'accès agissent
26/09 - Multimédium (lire
l'article)
Nimda
ralentit mais continue de faire des dégâts
24/09 - VNUNet (lire
l'article)
Les
12 travaux d'Hercule pour enrayer Nimda
24/09 - JDNet (lire
l'article)
Nimda
en perte de vitesse
21/09 - Multimédium (lire
l'article)
Alerte
au virus Nimda en Corée du Sud
20/09 - Multimédium (lire
l'article)
L'épidémie
Nimda gagne en puissance
20/09 - ZDNet (lire
l'article)
Nimda
cause d'importants dégâts
19/09 - Multimédium (lire
l'article)
Nimda,
le ver qui attaque sévère
19/09 - 01net (lire
l'article)
Virus:
Nimda cause un certain émoi
18/09 - Multimédium (lire
l'article)
|