Nimda

Il 18 settembre 2001 l’intera Internet -- che non si è ancora completamente ripresa dall’attacco inferto dal virus Code Red ha subito un sensibile rallentamento, dovuto alla moltiplicazione di un nuovo temibile virus. Nimda, com’è stato battezzato dagli addetti ai lavori, è il più virulento esemplare visto sinora: non vi sono ancora statistiche affidabili ma basti dire che un popolare sito web amministrato da chi scrive ha subito oltre duecento attacchi Nimda, ciascuno proveniente da una fonte differente, nella sola giornata di mercoledì 19. Gli attacchi provenivano da Svizzera, Italia, Finlandia, USA, Francia, Repubblica Ceca, Germania, Svezia, Russia e Norvegia.
Il virus si propaga in molteplici modi: attraverso la posta elettronica (genera messaggi apparentemente vuoti sulla macchina infettata e li spedisce a ciascun corrispondente il cui indirizzo è registrato nell’agenda del proprietario), per connessione diretta tra server web e server web, sulle reti locali delle aziende quando ci sono dischi rigidi condivisi, e addirittura da cliente a server e viceversa. È sufficiente che un utilizzatore di Internet navighi una pagina di un sito infetto per venire colpito dal virus, se nel seguito la stessa persona visita un altro sito web il virus verrà propagato anche al server che ospita quest’ultimo. Come se non bastasse, Nimda riconosce automaticamente i calcolatori infettati da Code Red II e li colpisce in modo inarrestabile, utilizzando le brecce che Code Red II apriva nei meccanismi di sicurezza che normalmente tutelano un calcolatore.
Come già era il caso di Code Red, anche Nimda colpisce esclusivamente i calcolatori che utilizzano sistemi operativi Microsoft: semplici PC sotto Windows 95, 98, ME, NT, o 2000 (purché notati di Internet Explorer versione 5.5 o precedente) e server sotto Windows NT o 2000. Il virus sfrutta alcuni difetti riconosciuti del sistema operativo; Microsoft ha rilasciato tempestivamente un aggiornamento per i server web (reperibile all’indirizzo www.microsoft.com/technet/security/bulletin/MS01-044.asp) ma sinora questo è stato applicato solo a una piccola minoranza dei calcolatori potenzialmente vulnerabili e che ospitano siti www -- molte centinaia di migliaia. Il virus è contenuto in una applicazione eseguibile chiamata readme.exe: chi usa un PC può effettuare una ricerca sul suo disco rigido cercando un file con questo nome e ottenere così un segnale sulla possibile infezione. Disabilitare JavaScript nelle preferenze di Internet Explorer impedisce l’infezione del PC durante la navigazione sul web.
È particolarmente spaventevole la scoperta che Nimda è stato scatenato sull’Internet esattamente una settimana dopo il terribile attacco terroristico alle torri gemelle del World Trade Center di New York -- spaccando il minuto. John Ashcroft, ministro della giustizia degli Stati Uniti d’America, in una conferenza stampa tenutasi martedì scorso ha sostenuto che, per quanto gli investigatori hanno potuto scoprire, non c’è relazione tra i terroristi omicidi e gli autori del virus. Tuttavia, le indagini continuano.