Nimda D/E: o vírus mais ativo no mundo

Arquivado em: Arquivo-CdB
Publicado quinta-feira, 1 de novembro de 2001 as 15:07, por: cdb

O vírus Nimda D (também conhecido como E por algumas empresas desenvolvedoras de antivírus), já é a praga virtual mais ativa mundialmente entre os usuários domésticos, segundo informações do serviço Virus Tracking Center, da Trend Micro. O levantamento mundial feito pela empresa utilizou informações de usuários que não possuem antivírus instalados em suas máquinas e utilizam a ferramenta online HouseCall para verificar a existência de vírus em seus PCs.

Segundo o VTC, um número superior a 21 mil computadores contaminados foi detectado nas últimas 24 horas, o que supera os dados sobre os casos com a versão A – que mesmo sendo mais antiga e conhecida, ainda aparece em segundo lugar, com 16 mil casos. De acordo com a Trend Micro, o vírus Nimda D foi identificado na Ásia no dia 29/10, onde já contaminou mais de 15 mil computadores, além dos ataques já registrados nos Estados Unidos onde atingiu cerca de 12 mil computadores. De acordo com diversas fontes e agências de notícias, uma das vítimas mais importantes do vírus foi o sistema do jornal New York Times, que anteriormente atribuiu os problemas enfrentados em sua rede no dia 30/10 a um ataque de hackers usando a técnica DoS (denial of service) – usada por hackers para tirar sistemas do ar – mas já admite que os problemas foram causados pelo vírus. No Brasil, várias empresas foram contaminadas pela variante, inclusive uma montadora de automóveis em São Paulo, que desligou o servidor de e-mails e bloqueou o acesso de seus funcionários à Internet.

Como no Nimda original (que contaminou mais de 8 milhões de PCs), o vírus infecta o computador mesmo que a “vítima” não clique no arquivo anexado. Basta visualizar o e-mail contaminado no preview do Outlook para que ele entre ação. E esta é apenas uma das formas de ataque da praga virtual. O Nimda também entra em ação com visitas a sites, utilizando drives compartilhados em redes e infecta sistemas com Windows 98, 2000, Millennium Edition, XP ou NT, pois procura por dezenas de vulnerabilidades nos sistemas, incluindo as existentes no Internet Information Server da Microsoft sem as atualizações de segurança existentes no site da criadora do Windows.

O novo invasor causa os mesmos danos do Nimda original, mas apresenta algumas pequenas diferenças, como o nome de arquivo anexado, que mudou para sample.exe. Além disso, o arquivo DLL incluído passa a se chamar httpodbc.dll, enquanto que o vírus agora é gravado no diretório Windows System como csrss.exe, ao invés de mmc.exe. Para evitar a contaminação, é preciso atualizar o antivírus que esteja instalado no computador.