A Módulo Security, líder em segurança da informação, traz dicas para remover o Nimda. A praga virtual já atacou mais de 330 mil arquivos em todo o mundo e a Microsoft. No Brasil, mais de quatro mil máquinas foram afetadas.O vírus Nimda possui pelo menos quatro formas diferentes de propagação, o que aumenta consideravelmente sua velocidade de disseminação na Internet. Seguem dicas para proteção de acordo com cada forma de propagação:
Envio por e-mail:
Através de um arquivo enviado por e-mail, o Nimda pode ser enviado a usuários finais. A infecção acontece em computadores vulneráveis a um problema já conhecido, que possibilita a execução do arquivo enviado sem a necessidade da mensagem ser lida.
Proteção:
A Microsoft já disponibilizou a correção, que está em www.microsoft.com/technet/security/bulletin/MS01-020.asp.
O problema é, na verdade, do Internet Explorer, que possui funções vulneráveis utilizadas pelos clientes de e-mail. A versão 5.5 com o service pack 2 instalado não está sujeita ao problema.
Através da web
Todos os servidores web infectados terão seus arquivos .html, .htm e .asp modificados e um código em JavaScript será incluído. Portanto, ao acessar uma página em um servidor infectado, um prompt de download de um arquivo .eml (outlook express) aparecerá. Caso o arquivo seja baixado, o mesmo problema do recebimento de e-mail se aplica, já que o arquivo seria utilizado pelo cliente de e-mail.
Proteção:
Aplicar o mesmo patch disponibilizado pela Microsft. A função de download de arquivos também pode ser desabilitada no Internet Explorer mas esta ação inviabiliza o download de qualquer tipo de arquivo.
Servidores IIS
Quando instalado em um computador, o Nimda irá procurar servidores IIS da Microsoft vulneráveis a problemas já conhecidos. Caso eles sejam encontrados, os servidores serão infectados e o processo de propagação continuará.
Proteção:
Os bugs que possibilitam a instalação do worm em um servidor web IIS já possuem correções disponibilizadas pela Microsoft. É necessário garantir que os servidores não são vulneráveis aos problemas descritos em:
www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ms00-078.asp
www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ms00-057.asp
www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-033.asp
www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-026.asp
Além de correções, a Microsoft disponibilizou uma ferramenta para aumentar a segurança de um servidor IIS. Chamada de "IIS Lockdown Tool", a ferramenta pode ser utilizada para aumentar o nível de segurança nos servidores. O uso desta ferramenta deve ser efetuado com cautela pois diversas alterações são realizadas nos servidores. É recomendado que todas as alterações sejam efetuadas primeiramente em ambientes de testes, fora da rede de produção. Não nos responsabilizamos por qualquer problema causado.
www.microsoft.com/technet/treeview/default.asp?url=/technet/itsolutions/security/tools/locktool.asp
Através da rede local
Um computador infectado pelo Nimda irá tentar acessar compartilhamentos de rede onde o usuário possui permissões de gravação. Todos os computadores com diretórios compartilhados na rede que possuem permissões indevidas ou inadequadas podem ser contaminados, mesmo sem possuir as vulnerabilidades citadas anteriormente.
Proteção:
Somente compartilhe um diretório pela rede quando necessário. Se compartilhar, garanta que somente os usuários devidos possuam acesso aos recursos. Sempre que possível, forneça somente acesso de leitura em um compartilhamento. Monitore os acessos aos compartilhamentos.
Volta para a capa |
Volta para as notícias
