indhold
En ny orm kaldet W32/Nimda@MM eller bare Nimda spreder sig med lynets hast over internettet. Ormen blev opdaget i går eftermiddags, men er allerede blevet sat til højeste risikofaktor hos flere anti-virus firmaer.
Ormen bruger alle kendte tricks for at sprede sig selv: Den spreder sig både gennem e-mail-klienter på almindelige Windows-pc'er og gennem IIS-servere. Ormen kan inficere computere med Windows 9x, ME, NT 4.0 og 2000.
Ormen spreder sig selv gennem e-mails, hvor den er vedhæftet som en eksekverbar fil, som formentlig hedder readme.exe. Ormen kan aktiveres allerede ved at den vises i preview-funktionen i Outlook Express. Den udnytter et kendt sikkerhedshul i Outlook og Oulook Express, men hvis man har opdateret klienten med rettelsen fra Microsoft, kan ormen ikke aktiveres automatisk.
Ormen udnytter flere kendte sikkerhedshuller i Microsofts Internet Information Servere (IIS) 4.0 eller 5.0 for først at inficere de pågældende servere og derefter bruge serverne til at sprede sig selv. Dette gøres gennem de browsere, som bruges til at surfe på de inficerede servere. Hvis websitet er inficeret, vil brugerne automatisk komme til at downloade en .eml fil, som indeholder ormen. Man kan deaktivere download af filer for at undgå dette.
Virussen spredes angiveligt kun gennem websider, hvis man benytter Internet Explorer version 5.01 og 5.5, der ikke er opdateret med Service Pack 2. På Microsofts site kan man læse, hvilke rettelser og opdateringer man skal bruge, hvis man har IIS servere.
Ormen overskriver eller ændrer flere vigtige systemfiler for at undgå at blive opdaget. Nogle nyhedstjenester skriver også, at ormen kan spredes via IRC og FTP.
