Cách túm cổ quái vật ba đầu Nimda

Quái vật này góp nhặt những chiến thuật đặc sắc nhất những kẻ tiền bối: kết hợp khả năng lây lan của Melissa với tài luồn lách Internet của Code Red rồi tấn công hầu hết những lỗ hổng bảo mật trên hệ điều hành của Microsoft.

Tuy nhiên, cho tới nay, các chuyên gia máy tính đã phần nào chế ngự được sức lây lan của Nimda.

Sâu máy tính này, có tên chính thức là W32.nimda@MM, tối qua (19/9), đã ảnh hưởng mạnh đến các mạng châu Á. Một số công ty của Nhật, Hàn Quốc, Trung Quốc và Singapore chịu hậu quả nặng nề. Ngân hàng Tsuru Credit Union đã phải đóng website và ngưng dịch vụ của mình thông qua Internet.

Triệu chứng

• Khi máy bị nhiễm virus, hàng loạt e-mail với tiêu đề khác nhau và nội dung rỗng sẽ tự động gửi đi.
• Gắn các file có tên INDEX, MAIN, DEFAULT với đuôi .ASP, .HTM hay .HTML với một đoạn mã JavaScript.
• Một guest account đột nhiên xuất hiện với những đặc quyền quản trị mạng.
• Xuất hiện các file C:\ADMIN.DLL, D:\ADMIN.DLL và E:\ADMIN.DLL. Xuất hiện file README.EML
• Máy của bạn có những folder chia sẻ dữ liệu (shares) mới không giải thích nổi từ đâu ra.
• Máy chạy chậm như rùa bò bởi con bọ đang cố gắng tìm những nạn nhân kế tiếp.

Các hệ thống Nimda có thể tấn công

• PC dùng Internet Explorer 5.01 hay IE 5.5 SP1: Windows 9.x, Windows NT, Windows Me, Windows 2000.
• Server chạy Microsoft IIS 4.0, IIS 5.0

Cách chữa

• Người sử dụng IE 5.01 hay 5.5 nên cài phần sửa lỗi này hoặc nâng cấp lên SP2 hoặc nâng cấp thành IE 6.0.
• Các nhà quản trị mạng dùng IIS 4.0 hay 5.0 nên cài phần sửa lỗi này.
• Vô hiệu hoá hoặc loại bỏ các thông điệp có chứa file đính kèm Readme.exe.
• Nâng cấp các chương trình phát hiện virus.
• Security Check của Sysmantec có thể kiểm tra xem hệ thống của bạn có bị nhiễm virus không.

H.F. (theo MSNBC)