Présentation du virus NimdaLe virus Nimda (nom de code
W32/Nimdaest un
ver se propageant à l'aide du courrier électronique, mais il exploite également
4 autres modes de propagation :
- Le web
- Les répertoires partagés
- Les failles de serveur Microsoft IIS
- Les échanges de fichiers
Il affecte particulièrement les utilisateurs de
Microsoft Outlook sous les systèmes d'exploitation Windows 95, 98,
Millenium, NT4 et 2000.
Les actions du virusLe ver Nimda récupère la liste des adresses présentes
dans les carnets d'adresses de Microsoft Outlook et Eudora, ainsi que les adresses e-mails contenues
dans les fichiers HTML présents sur le disque de la machine infectée.
Puis le virus Nimda envoie à tous les destinataires un courrier dont le corps
est vide, dont le sujet est aléatoire et souvent très long et attache au courrier une pièce
jointe nommée
Readme.exe ou
Readme.eml (fichier encapsulant un fichier exécutable).
Les virus utilisant une extension du type
.eml exploitent une faille de Microsoft Internet Explorer 5.
D'autre part le virus Nimda est capable de se propager à travers les répertoires
partagés des réseaux Microsoft Windows en infectant les fichiers exécutables s'y trouvant.
La consultation de pages Web sur des serveurs infectés par le virus Nimda peut entraîner
une infection lorsqu'un utilisateur consulte ces pages avec un navigateur Microsoft Internet Explorer 5 vulnérable.
En effet, le virus Nimda est également capable de prendre la main sur un serveur Web Microsoft IIS (Internet Information Server)
en exploitant certaines failles de sécurité.
Enfin, le virus infecte les fichiers exécutables présents sur la machine infectée,
ce qui signifie qu'il est également capable de se propager par échange de fichiers.
Symptomes de l'infectionLes postes de travail infectés par le ver Nimda possèdent sur leur disque les fichiers suivants :
- README.EXE
- README.EML
- fichiers comportant l'extension .NWS
- fichiers dont le nom est du type mep*.tmp, mep*.tmp.exe (par exemple mepE002.tmp.exe)
Pour vérifier si vous êtes infectés, procédez
à une recherche des fichiers cités ci-dessus sur l'ensemble de vos disques durs
(
Démarrer / Rechercher / Fichiers ou Dossiers).
Eradiquer le virusPour éradiquer le ver Nimda, la meilleure méthode consiste tout d'abord à
déconnecter la machine infectée du réseau, puis à utiliser un antivirus
récent ou bien le kit de désinfection proposé par Symantec :
Télécharger le kit de désinfectionD'autre part, le virus se propage par l'intermédiaire d'une faille de sécurité de
Microsoft Internet Explorer, ce qui signifie que vous pouvez être contaminé par
le virus en naviguant sur un site infecté. Pour y remédier il est nécessaire
de télécharger le patch (correctif logiciel) pour Microsoft Internet Explorer 5.01 et 5.5.
Ainsi, veuillez vérifier la version de votre navigateur et télécharger le correctif
si nécessaire :
http://www.microsoft.com/windows/ie/download/critical/Q290108/default.asp 
Sam 17 Nov - 17:33