Passer au contenu

Nimda, le ver qui attaque sévère

Nimda attaque les PC et les sites Web. Particulièrement dangereux, il n’est pas nécessaire d’ouvrir une pièce jointe pour être infecté : recevoir le mail contaminé suffit.

Alors que Sircam continue de polluer les messageries électroniques, un autre virus venant de faire son apparition infecte déjà l’Amérique, l’Asie et l’Europe. On parle de près de 200 000 sites contaminés. Baptisé Nimda ou Minda (anagramme de admin), sa méthode de propagation est particulièrement redoutable.Nimda utilise deux modes de diffusion : messagerie Outlook ou sites Web, et concerne tous les systèmes Windows, à l’exception de Windows XP. S’en débarrasser nécessite de recourir à des logiciels d’antivirus.Ce virus reprend les caractéristiques d’un ver (worm) classique : il arrive sous la forme d’un e-mail comportant une pièce attachée, appelée Readme.exe (comme le virus Apost). Le corps du message ne comporte rien d’autre, et le sujet du mail varie.Mais il s’avère beaucoup plus retors : la contamination peut avoir lieu dès la réception du mail, sans même que l’utilisateur n’ouvre la pièce jointe. Pour cela, Nimda exploite une faille de sécurité d’Internet Explorer version 5.01 et 5.5 SP1. Le correctif est disponible à cette adresse.Si, par chance, l’utilisateur a effectué sa mise à jour, ou encore reçoit le mail par une autre messagerie qu’Outlook, le risque subsiste qu’il ouvre le fichier attaché. Lorsque le programme readme.exe est lancé, il commence par récupérer les adresses mail contenues dans le carnet d’adresses de l’ordinateur, et dans les pages HTML ou HTM stockées sur le disque. Il envoie alors un message contenant la pièce contaminée.Ensuite, il met tous les disques de l’ordinateur en accès partagé. Et il modifie les droits d’accès des utilisateurs de type ” guest “. N’importe qui, depuis Internet ou le réseau local de l’entreprise, peut alors lire, écrire, détruire à sa guise les fichiers contenus sur les disques.Nimda se propage lui-même de disque en disque sur les réseaux, en laissant des fichiers infectés déguisés en e-mail ou en extrait de newsgroup, qui ne demandent qu’à être ouverts pour infecter de nouveaux utilisateurs.

Alerte maximale chez tous les éditeurs d’antivirus

Mais, Nimda ne s’arrête pas là. Depuis la machine où il s’est installé, il génère de façon aléatoire des adresses IP et envoie à chacune des requêtes indétectables par les firewall.Nimda ne le fait pas simplement pour le plaisir d’encombrer le réseau Internet : il cherche des serveurs Web Microsoft (IIS version 4 et 5) qui par hasard n’auraient pas corrigé certaines failles de sécurité. Il va même jusqu’à regarder si un précédent virus, Code Red II (Code Rouge II), n’aurait pas déjà infecté le serveur, en y laissant un cheval de Troie, ce qui lui facilite le travail.Le but de tout ceci est de modifier les pages Web stockées sur ces serveurs en y rajoutant un petit script. Ce dernier se lance automatiquement lorsque la page est affichée par un internaute, s’il utilise des versions non réparées d’IE 5.Le surfeur ne remarquera rien de particulier en passant sur cette page. Pourtant, à son insu, Nimda a ouvert une fenêtre qui contient un e-mail avec la pièce attachée Readme.exe. Et comme l’internaute utilise IE 5, cette pièce va se lancer toute seule. Et le cycle de contamination de reprendre son cours…Nimda est apparemment très efficace dans son genre, car à peine quelques heures après sa découverte, tous les éditeurs d’antivirus se plaçaient en alerte maximale.Pour plus d’informations et un antivirus, consultez : L’alerte de Trend MicroL’alerte de SymantecL’alerte de KasperskyLabLalerte de McAfee

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Karine Solovieff