O vírus Nimda

Maio 2015

Apresentação do vírus Nimda


O vírus Nimda (nome de código W32/Nimda é um verme que se propaga com a ajuda do correio eletrônico, mas explora igualmente 4 outros modos de propagação:

  • A web
  • Os diretórios partilhados
  • As falhas de servidor Microsoft IIS
  • As trocas de arquivos



Afeta particularmente os utilizadores do Microsoft Outlook nos sistemas de exploração Windows 95,98, Millenium, NT4 e 2000.

As ações do vírus



O verme Nimda recupera a lista dos endereços presentes nas agendas de endereços do Microsoft Outlook e de Eudora, bem como os endereços de correio eletrônico contidos nos arquivos HTML presentes no disco da máquina infectada.

Seguidamente, o vírus Nimda envia a todos os destinatários um correio cujo corpo está vazio, cujo assunto é aleatório e frequentemente muito longo e junta ao correio um anexo chamado Readme.exe ou Readme.eml (arquivo contendo um ficheiro realizável). Os vírus que utilizam uma extensão do tipo .eml exploram uma falha do Microsoft Internet Explorer 5.

Por outro lado, o vírus Nimda é capaz de se propagar através dos diretórios partilhados das redes Microsoft Windows, infectando os ficheiros realizáveis que aí se encontram.

A consulta de páginas Web sobre servidores infectados pelo vírus Nimda pode provocar uma infecção quando um utilizador consulta estas páginas com um navegador Microsoft Internet Explorer 5 vulnerável.


Com efeito, o vírus Nimda é igualmente capaz de controlar um servidor Web Microsoft IIS (Internet Informação Server) explorando certas falhas de segurança.

Por último, o vírus infecta os ficheiros realizáveis presentes na máquina infectada, o que significa que é igualmente capaz de se propagar por troca de ficheiros.

.

Sintomas da infecção


Os computadores infectados pelo verme Nimda possuem no seu disco os ficheiros seguintes :

  • README.EXE
  • README.EML
  • ficheiros comportando a extensão .NWS
  • ficheiros cujo nome é do tipo mep*.tmp, mep*.tmp.exe (por exemplo mepE002.tmp.exe)




Verificar se foi infectado, proceder a uma busca dos ficheiros citados acima no conjunto dos seus discos rígidos (Iniciar/procurar/Ficheiros ou Processos).

Erradicar o vírus


Para erradicar o verme Nimda, o melhor método consiste, em primeiro lugar, em desligar a máquina infectada da rede, seguidamente utilizar um antivírus recente ou o conjunto de desinfecção proposto pela Symantec:
Fazer o download do conjunto de desinfecção

Por outro lado, o vírus propaga-se por causa de uma falha de segurança do Microsoft Internet Explorer, o que significa que pode ser contaminado pelo vírus navegando num site infectado. Para remediar, é necessário fazer o download do patch (correção "software") para Microsoft Internet Explorer 5.01 e 5.5. Assim, verifique a versão do seu navegador e faça o download da correção se necessário:
http://windows.microsoft.com/pt-br/windows/home

Mais informações sobre o vírus


Para uma leitura offline, é possível baixar gratuitamente este artigo no formato PDF:
O-virus-nimda.pdf

A ver igualmente


The Nimda virus
The Nimda virus
El virus Nimda
El virus Nimda
Der  virus Nimda
Der virus Nimda
Le ver Nimda
Le ver Nimda
Il virus Nimda
Il virus Nimda
Este documento, intitulado « O vírus Nimda »a partir de Kioskea (pt.kioskea.net) está disponibilizado sob a licença Creative Commons. Você pode copiar, modificar cópias desta página, nas condições estipuladas pela licença, como esta nota aparece claramente.