Суббота была ознаменована 10-ой годовщиной печально известного червя
Nimda.
Nimda (если прочитать наоборот, то будет admin) был гибридным червем, который
распространялся через вложения в электронные письма и через сайты, работающие на
уязвимых версиях IIS компании Microsoft. Вредоносное ПО использовало уязвимость
folder traversal, которая была пропатчена Microsoft спустя месяц после
первоначальной атаки 18 сентября 2001 г.
Программа заразила многочисленные сайты по всему миру, создав значительные
проблемы для эксплуатации ПО, по большей части из-за агрессивных методов
распространения. Червь также эксплуатировал ненадежные пароли для того, чтобы
быстро перемещаться по различным машинам в локальных сетях. И, наконец, Nimda
распространялся используя, так называемые, бекдоры, оставленные открытыми в ходе
атак червя Code Red II.
Во время поиска своих жертв Nimda генерировал огромные количества
дополнительного сетевого трафика. Вдобавок вредоносное ПО заражало исполняемые
файлы, усложняя дальнейший процесс очистки.
Такие высокотехнологичные фирмы как Microsoft, Dell и NTL стали жертвами
Nimda. Майкл Лейн Томас, евангелист-разработчик .NET, назвал "демонов", стоящих
за Nimda, "индустриальными террористами".
Проблемы с Nimda начались в период наплыва червей для Windows, который
возглавил Code Red в сентябре 2001 и продолжил Slammer в январе 2003-года,
Blaster в августе 2003-го и Sasser в мае 2004-го.
Сейчас остается только гадать, кто же на самом деле создал Nimda и его копии.
Единственным злоумышленником, которого удалось поймать, был
Джефри Ли Парсон (AKA
t33kid), ответственный за вариант Blaster-a 18-летний юноша. Его арестовали в
конце августа 2003-го. В конце концов, его приговорили к тюремному заключению на
18 месяцев.
Эра резонансных червей, таких как Nimda, давно прошла. Сегодня мы печемся о
ботнетах, троянах и Stuxnet-е – хитром и осторожном черве, которого часто
обвиняют в заражении промышленных систем управления и выведении из строя
производственного оборудования на иранской атомной станции в прошлом году.
Отсутствие червей, подобных Nimda, можно объяснить уроками, извлеченными из
многочисленных атак. Microsoft включила файрвол в Windows XP SP2 в августе
2004-го. Практически все организации блокируют исполнимые файлы, прикрепленные в
электронных письмах, еще одна разумная мера предосторожности, которая заставляет
хакеров заманивать своих жертв на зараженные сайты или открывать зараженные
PDF-файлы.
