Nimda attacca da diversi fronti: l’e-MAIL, il Web, e la LAN.
Riempie le directory dell’ hard disk con file .EML (mail già pronte per essere spedite) e condivide il disco C con privilegi a “Everyone”. Inoltre sovrascrive una DLL di Word che ne modifica le funzioni trasformandolo da programma per videoscrittura a “strumento d’infezione”.
Ecco i possibili attacchi:
Via E-mail: arriva assieme ad un messaggio con un oggetto a caso, e si nasconde in un allegato invisibile. Il virus per attivarsi sfrutta un baco di Outlook (e Internet Explorer fino alla versione 5.5 sp1), grazie al quale viene scambiato per un file audio ed eseguito automaticamente non appena il messaggio viene visualizzato in preview (viene trattato come se fosse l’audio di sottofondo).
Via WEB La pagina infettata contiene un Java che apre un popup. Il popup, a sua volta, richiama il file readme.eml sul server infettato e infetta il visitatore.
Via Lan Copia sè stesso in un file load.exe nella directory c:WINDOWS o c:WINNT, si attiva da autoexec.bat (win98) o da wininit.ini (win200). Infine modifica le pagine HTML e ASP inserendo il java che poi infetterà altri pc.
Per prevenire ecco dove scaricare le patch:
Patch1
