Roma – Dopo le scorribande estive di Code Red, sulla rete è nuovamente allarme rosso per Nimda, un nuovo worm per Windows che negli scorsi due giorni ha messo in allarme non soltanto gli esperti di sicurezza, ma persino l’FBI, che martedì notte ha istituito in tutta fretta una task force per studiare il virus.
A poche ore dalla sua scoperta, avvenuta martedì, Nimda ha già mostrato una capacità di diffusione impressionante ed una complessità così elevata che, nella giornata di ieri, gli esperti di sicurezza ancora ne studiavano comportamento e tecniche di infezione.
“Abbiamo di fronte un nuovo Internet worm in grado di diffondersi a velocità mai viste prima”, ha affermato Steven Sundermeier di Central Command. “È davvero complesso, molto pericoloso, con diverse potenzialità in più rispetto a Code Red. È come una sorta di super Code Red ed un super Sircam combinati insieme”.
Per diffondersi, Nimda utilizza tre differenti canali: la posta elettronica, in cui si presenta come allegato con il nome di “readme.exe”; Internet Information Server, sul quale, con un meccanismo molto simile a quello già utilizzato da Code Red, può agire sfruttando diverse vulnerabilità; le condivisioni di rete all’interno di LAN con client Windows. Inizialmente qualcuno aveva persino ipotizzato che il worm avesse la capacità di auto propagarsi anche attraverso FTP e IRC, ma per il momento non c’è nessuna conferma di questo (a parte, come vedremo, l’uso di TFTP).
Sebbene non distruttivo, questo worm è stato catalogato da tutte le imprese antivirus come “ad alto rischio” ed il motivo sta nel fatto che Nimda può, nel giro di pochi minuti, mettere in ginocchio un’intera intranet, i network interni di enti e aziende.
Come si vedrà anche in seguito, il worm sembra infatti in grado di generare notevole traffico di rete in seguito ai suoi numerosi e simultanei tentativi di cercare altre macchine da infettare.
Già ieri mattina molti amministratori di sistema hanno notato un sensibile incremento di richieste verso i loro server Web, centinaia di scansioni contemporanee da parte del worm alla ricerca di vulnerabilità conosciute di IIS. Secondo gli esperti questo incremento di traffico è molto più elevato di quello che si era registrato in occasione di Code Red, e finisce per rallentare anche i siti non infetti.
Un lettore ieri ha scritto a Punto Informatico: “Abilitando il web server (su Unix/Linux) almeno l’80% di traffico generato sulla nostra linea dedicata è dovuto a questo worm, e questo ci costringe quindi a mantenere il server attualmente disattivo. Già altri provider con cui sono in contatto lamentano danni simili”.
Nimda si muove velocissimo: in sole 24 ore ha infettato USA, Giappone Australia e parte dell’Europa. Ad oggi sono migliaia le segnalazioni di infezioni e centinaia le grosse reti aziendali dove questo flagello si è abbattuto: dal network di Siemens a MSN, dalla maggiore agenzia di informazione giapponese Kyodo ai siti Web della Norwegian Sports Federation o di Famiglia Cristiana.
La rapidità e la pericolosità di Nimda ha allertato, come si è visto, FBI ed altri organi di sicurezza americani e internazionali che, insieme ad alcuni rappresentanti del mondo industriale, sono persino arrivati a consigliare ai cittadini di non connettersi ad Internet per evitare ogni rischio d’infezione: un appello che non ha precedenti nei toni utilizzati, probabilmente motivato anche dal clima particolarmente teso di questo periodo.
Anche Microsoft si è detta molto preoccupata delle conseguenze di questo nuovo worm sugli utenti e ha affermato che si tratta di un codice che potrebbe causare danni davvero imponenti se non verrà bloccato al più presto. In molti si augurano che non si sia di fronte ad un “altro Code Red”. Basti pensare che la recente stima della società di analisi Computer Economics sui danni causati da Code Red ha portato la cifra totale a quota 2,6 miliardi di dollari.
Nella giornata di ieri anche l’Italia è entrata nel mirino di Nimda e all’indirizzo della nostra redazione sono cominciate a piovere segnalazioni di infezioni ed indirizzi di rete irraggiungibili. In una statistica pubblicata da Incidents.org, si evince che a livello mondiale l’Italia è settima, con una percentuale pari al 2,16%, per numero di indirizzi IP da cui partono gli attacchi di Nimda. Dati che potrebbero cambiare rapidamente anche nelle prossime ore visto il dinamismo con cui si propaga l’infezione.
Fra le vittime italiane del worm c’è anche l’associazione dei consumatori ADUC che in un comunicato ha ammesso: “da ieri sera alle 19 il sistema interno di gestione dell’Aduc è andato in tilt grazie all’attacco del virus V32.Nimda”.
Alcuni utenti accusano addirittura di essere stati infettati dalla propria banca e sono in effetti diversi gli istituti di credito, soprattutto giapponesi e americani, che hanno dovuto chiudere temporaneamente le loro attività on-line per colpa dell’irrispettoso vermicello.
Nonostante nella mattinata di ieri alcuni media avevano avanzato ipotesi su di un possibile legame tra Nimda e gli attacchi terroristici agli USA, nel pomeriggio la polizia federale americana ha smentito queste voci. In particolare il procuratore generale degli Stati Uniti John Ashcroft ha voluto gettare acqua sul fuoco, spiegando che non vi è alcun elemento fino ad ora che crei una diretta correlazione tra le due cose.
Sebbene all’interno del codice di Nimda la scritta “Concept Virus (CV) V.5, Copyright (C) 2001 R.P.China” farebbe pensare, com’era stato nel caso di Code Red, ad un virus di origine cinese, i detective sembrano però convinti che anche in questo caso la nazionalità degli autori vada cercata altrove.
Come detto, Nimda utilizza tre diversi canali per diffondersi attraverso Internet, ma i meccanismi di infezione identificati ieri dal CERT sono addirittura cinque: da client a client via e-mail; da client a client attraverso unità di rete condivise; da server Web a client attraverso la navigazione di siti compromessi; da client a server Web attraverso la ricerca e lo sfruttamento della falla “Microsoft IIS 4.0 / 5.0 directory traversal”; da client a server Web attraverso la ricerca e lo sfruttamento delle back door installate in precedenza da Code Red II e sadmind/IIS.
Questa eccezionale capacità nel riuscire a sfruttare, anche in contemporanea, più metodi d’infezione, fa sì che Nimda possa infettare tutti i client Windows a 32 bit, e dunque Windows 95, 98, ME, NT e 2000, ed i server NT/2000.
Il virus si propaga attraverso le e-mail come allegato MIME “multipart/alternative” con una sezione “text/html” (vuota) e una sezione “audio/x-wav” contenente il file eseguibile “readme.exe” (ma ieri Trend Micro ha fatto sapere a Punto Informatico che si stanno diffondendo varianti con estensioni differenti del file, come.wav e.com).
Il CERT, organismo di sicurezza statunitense, sostiene che per via della vulnerabilità “Automatic Execution of Embedded MIME Types” delle versioni di Internet Explorer precedenti alla 5.5SP1, “qualsiasi software di mail che giri su una piattaforma x86 e che utilizzi il motore di IE per visualizzare le pagine HTML, eseguirà in automatico l’allegato della mail e, come risultato, infetterà il sistema con il worm”. In pratica i client e-mail vulnerabili sono Outlook e Outlook Express.
Come altri worm dello stesso tipo, anche Nimda varia il soggetto della mail componendolo con caratteri a caso (fino ad 80): le dimensioni del file allegato rimangono però invariate e pari a 57.344 byte.
Una volta lanciato l’eseguibile, il worm creerà il file mepXXXX.tmp.exe all’interno della cartella C:WindowsTemp contenente l’allegato e-mail in formato EML che il worm utilizza per diffondere sé stesso verso altri indirizzi di posta. Tramite una voce inserita nel file Wininit.ini il virus si preoccupa poi di cancellare i precedenti file temporanei e crearne di nuovi.
Nimda va a modificare anche il file system.ini inserendovi una nuova riga di comando, “Explorer.exe load.exe ?dontrunold”, e piazzando il cavallo di Troia load.exe nella cartella System di Windows. Sempre all’interno di questa cartella il worm provvede a sovrascrivere il file riched20.dll con una copia di sé stesso abilitando l’attributo “invisibile”. Non soddisfatto, Nimda copia sé stesso anche nel file mmc.exe sotto la cartella di Windows.
Tramite un motore SMTP integrato ed il sistema MAPI di Windows, Nimda invia una copia di sé stesso ad ogni indirizzo contenuto nella rubrica di Windows. Fatto questo, Nimda inizia la scansione della rete alla ricerca di server IIS vulnerabili al noto bug “Web directory traversal”, già sfruttato da Code Red e dalle sue varianti, o contenenti back door lasciate lì da Code Red II o Sadmind/IIS .
Dai log dei server Web risulta che il worm, per ogni server IIS, tenta una sequenza di ben 16 attacchi, talvolta ripetendo la sequenza anche più volte in successione. Nel caso riesca a bucare il server, il worm provvede a trasferirsi sulla nuova vittima copiando, attraverso il protocollo TFTP, il file admin.dll nelle root directory del server. Una volta eseguito, questo worm aggiungerà l’utente guest locale nel gruppo Administrators in modo da dargli i massimi privilegi. Fatto ciò, Nimda si assicurerà che il disco C$=C: sia condiviso per poi iniziare l’opera di scansione della rete sulla porta HTTP/80 e propagarsi sulle macchine locali attraverso le condivisioni di rete (dischi e cartelle).
Quando il virus trova una cartella condivisa vi copia al suo interno un file di nome readme con estensione NWS (Newsgroup Posting) o EML (E-Mail) contenente in allegato il codice virale: come si è visto in precedenza per Outlook, anche in questo caso se questo file viene eseguito con una versione di IE pari o inferiore alla 5.5SP1, l’allegato verrà eseguito in automatico.
Il CERT aggiunge che il virus si preoccupa anche di infettare diversi tipi di file eseguibili da un browser Web, come quelli HTML e ASP, ed appendervi le seguenti linee di codice JavaScript:
<script language="JavaScript">
window.open("readme.eml", null, "resizable=no,top=6000,left=6000")</script>
In questo modo, il worm ha l’opportunità di infettare altri utenti che con un browser navighino all’interno della rete locale o di un sito remoto.
La conseguenza più vistosa di un’infezione da parte di Nimda è senza dubbio l’improvviso e talvolta insostenibile traffico di rete generato dal worm.
Come riporta il sito di sicurezza Incidents.org, il worm lancia numerosi scanning simultanei della rete che possono sovraccaricare il sistema e l’intera rete locale. Questo sembra senza dubbio un effetto voluto, una sorta di “attacco DDoS al contrario” che permette comunque al worm di continuare a diffondersi di rete in rete.
Per rilevare con una certa sicurezza un’infezione è però sufficiente verificare la presenza sui sistemi del file “readme.eml” all’interno delle cartelle condivise, della riga di testo “Shell=explorer.exe load.exe -dontrunold” all’interno del system.ini o, ancora, accertarsi che il file admin.dll non abbia l’attributo “hidden”, invisibile (per far ciò, bisogna abilitare in Explorer la visualizzazione dei file invisibili).
Nimda modifica anche molte chiavi del registro di Windows e diverse entrate di alcuni file di configurazione del sistema operativo e di IIS.
Ad oggi ormai tutti i principali software antivirus dovrebbero essere in grado di rilevare il virus, anche se per il momento non tutti sono in grado di rimuoverlo completamente in automatico. In ogni caso il consiglio è quello di procedere quanto prima ad installare la patch per IE 5.5SP1 e precedenti e la patch per IIS.
Nonostante quello che promettono alcuni antivirus, il CERT afferma che “l’unico modo sicuro per recuperare un sistema compromesso è quello di formattare il drive di sistema e reinstallare il software da un media affidabile”. Il CERT ricorda inoltre di scollegare il sistema dalla rete, altrimenti si rischia di ritrovarlo infetto ancor prima di arrivare ad installare le patch.
Per prevenire l’infiltrazione nella propria rete di Nimda Trend Micro raccomanda “l’uso di meccanismi di blocco per i file eseguibili in modo da raggiungere un veloce livello di sicurezza contro la diffusione di worm, come Nimda, il cui soggetto varia in modo casuale”. Per i client di rete, anche quelli non ancora infetti, la nota firma antivirus consiglia poi di chiudere in scrittura tutte le condivisioni di rete e procedere a ripulire il sistema seguendo le istruzioni pubblicate in questa pagina oppure scaricando il cleaner gratuito da qui .
Al momento non siamo a conoscenza di altri tool gratuiti per la rimozione del virus: aggiungeremo mano a mano in questa stessa pagina quelli eventualmente segnalatici dalle aziende e dai lettori.
“Il virus Nimda costituisce un’ulteriore e seria minaccia per gli utenti e-mail sia per il suo complesso meccanismo di replicazione sia per il fatto che si trasmette in una moltitudine di modi. Appare come un virus concettuale che ha però agito con successo, suggerendo che le varianti di Nimda ed altri virus simili potranno facilitare nuove infezioni a macchia d’olio. La sicurezza della posta a livello del server è assolutamente necessaria per bloccare questa nuova minaccia,” ha avvisato David Vella, Product Manager di GFI, noto produttore di software per la sicurezza.
Aggiornamenti
(I) Un lettore ci ha segnalato un altro cleaner gratuito
per rimuovere Nimda: Stand Alone Removal Tool di McAfee, scaricabile da qui
(440 KB). Pare riesca a rimuovere anche condivisioni, voci del registro e altre
modifiche apportate dal worm al sistema operativo.
(II) Segnaliamo anche il cleaner di Sophos ,
quello di Symantech
e quello di Central
Command .
Roma – Nimda è sicuramente uno dei worm più distruttivi e subdoli che si sia mai visto. Primo, perché per propagarsi cerca prima di tutto di infettare l’utente, che di norma non ha grandi competenze e quindi tende a prendere per buono l’allegato ricevuto. In seconda analisi, perché, al pari di Code Red, sfrutta una nota falla di IIS, il secondo server Web più diffuso al mondo.
Purtroppo non si può obbligare nessuno ad applicare hot fix, ma se fossi in quelle persone che si ritrovano un server Web compromesso perché il proprio amministratore ha preferito fare altro anziché il proprio lavoro, un minimo di rabbia la proverei.
Quanto ai modi per togliere di mezzo questo worm, l’unico è controllare tutti i file “.eml” presenti nel sistema, ad eccezione di quelli generati da CDONTS, aprendoli con il blocco note. In genere, le e-mail generate da Nimda contengono un file di nome “readme.exe” che tenta di aprirsi come audio/wav. Non tutti gli antivirus, tuttavia, sono in grado di ripulire i file, ma solo di rimuoverli, dunque bisogna porre attenzione a ciò che si fa.
In molti casi, l’unico modo possibile è formattare la macchina e reinstallare tutto da zero, con le conseguenze del caso. Nimda provvede infatti ad infettare tutti i PC Windows (client e server) collegati in una LAN.
La particolarità di questo worm è che inserisce all’inizio di ogni file HTML e ASP un piccolo script capace di scaricare il worm anche sulle macchine di utenti remoti che stiano semplicemente navigando su un sito infetto: in questo caso, per fortuna, agli utenti con versioni di IE più recenti della 5.5SP1 verrà visualizzata una conferma prima che il worm possa trasferirsi sul sistema.
Come si è visto in precedenza, il worm provvede inoltre ad infettare alcuni file di sistema rendendoli per altro invisibili all’utente. Insomma, è un attacco su più fronti, che può rivelarsi fatale se la sicurezza è considerata un optional.
Come prevenzione, per la parte client basta avere Internet Explorer 5.5 SP2 o superiore, per la parte server occorre installare la patch per IIS MS01-44.
Tuttavia, per i client Windows appartenenti ad una rete locale le patch non bastano. Mi sono state segnalate alcune infezioni che si sono avute sfruttando la caratteristica di questo worm di propagarsi anche attraverso una condivisione. Se dunque la segretaria ha eseguito il programma e vi ritrovate il vostro server infettato, nonostante abbiate tutte le patch installate, molto probabilmente l’infezione si è propagata in questo ultimo modo.
La soluzione consiste nell’aggiornare tutte le copie di IE, come già detto, e volendo essere più decisi, nel disabilitare l’active scripting (quella feature di Outlook Express che consente di visualizzare e-mail con script all’interno).
Infine, per evitare anche eventuali varianti, Microsoft ha rilasciato un tool, alcuni giorni fa, chiamato URL Scanner in grado di bloccare tutte le chiamate considerate sospette e prevenire, quanto meno, l’infezione causata da un comportamento simile a quello di Code Red.
Per ora ci sono già alcune segnalazioni di server infetti qui in Italia, ma direi che è ancora presto per trarre bilanci, nonostante all’apparenza si possa definire certamente come un worm molto pericoloso, che ha riunito in sé tutto il meglio, se possibile, dei suoi predecessori.
Daniele Bochicchio, content manager di ASPItalia.com