Jak usunąć groźnego wirusa
Kilkadziesiąt tysięcy komputerów na całym świecie zainfekował dotychczas nowy, niezwykle niebezpieczny "robak komputerowy" - Nimda.
Wirus atakuje komputery podczas przeglądania stron internetowych i odbierania poczty elektronicznej. Eksperci od bezpieczeństwa komputerowego ostrzegają, że Nimda może wyrządzić dużo większe straty niż wirus Code Red, który od lipca tego roku zniszczył bazy danych w kilkuset tysiącach komputerów na całym świecie.
Przemysław Jaroszewski z polskiego oddziału Computer Emergency Response Team, zajmującej się bezpieczeństwem komputerowym ostrzegł, że nowy wirus bardzo łatwo infekuje komputery.
Wirus najpierw zaatakował około 130 tysięcy komputerów w USA, po czym rozprzestrzenił się Japonię i inne kraje azjatyckie.
Władze amerykańskie nie mają na razie dowodów na to, że pojawienie się wirusa ma jakikolwiek związek z ubiegłotygodniowymi atakami na Stany Zjednoczone.
Robak Nimda lawinowo rozprzestrzenia się w Internecie, głównie dlatego, że do swojej aktywizacji nie wymaga specjalnego działania użytkownika. W niezabezpieczonych specjalną łatą popularnych programach pocztowych firmy Microsoft - Outlook i Outlook Express - wystarczy jedynie by wiadomość z robakiem była wyświetlona w poglądzie, a robak już się aktywizuje (nie konieczne jest otworzenie listu czy załącznika).
Drugi aspekt działania robaka do zdolność do rozprzestrzeniania się w sieciach lokalnych. Sposób w jaki czyni to Nimda sprawia, że infekcja dużych sieci składających się z ogromnej liczby komputerów następuje bardzo szybko. Robak nadpisuje bądź infekuje pliki z rozszerzeniami exe, eml, nws znajdujące się na dyskach lokalnych oraz w zasobach udostępnionych na innych komputerach w sieciach lokalnych. Dodatkowo Nimda udostępnia w sieci do zapisu całe dyski komputera, co znacznie przyspiesza rozprzestrzenianie się robaka.
Zatem te dwa sposoby: rozsyłanie się pocztą elektroniczną oraz rozprzestrzenianie się w sieci lokalnej są główną drogą działania robaka. Ponadto robak stara się infekować serwery stron www działające pod kontrolą oprogramowania MS IIS, korzystając z kolejnego błędu w tym właśnie oprogramowaniu. Zainfekowane w ten sposób serwery stanowią trzecią drogę infekcji, gdyż użytkownik wchodzący na strony znajdujące się na takim serwerze może nieświadomie pobrać kopię robaka i w ten sposób zainfekować swój komputer.
Sposób usuwania robaka:
1. Odłączyć zainfekowany komputer od sieci komputerowej aby ograniczyć rozprzestrzenianie się robaka
2. Przeskanować wszystkie dyski zainfekowanego komputera oprogramowaniem mks_vir z datą bazy wirusów z 19 września 2001 lub nowszą. Usunąć wszystkie pliki, w których wykryty zostanie robak. Jeżeli niektórych plików nie da się usunąć, gdyż są zajęte przez system Widnows, należy je usunąć bądź za pomocą wersji mks_vir dla DOS lub ręcznie w trybie MS-DOS
3. Plik riched20.dll należy odtworzyć z płyty instalacyjnej systemu Windows
4. Usunąć opisane klucze rejestru powodujące udostępnianie całości dysków zainfekowanego komputera HKLMSoftwareMicrosoftWindowsCurrentVersionNetworkLanMan[C$ -> Z$]
5. Usunąć wpis w pliku system.ini pozostawiając ciąg "shell=explorer.exe" shell=explorer.exe load.exe -dontrunold.
6. Zainstalować łatę do błędów w oprogramowaniu Microsoftu Dostępne są łaty zarówno do błędu wykorzytywanego przy uruchamianiu pliku w programie pocztowym jak i do infekcji serwerów IIS, odpowiednio:
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
http://www.microsoft.com/technet/security/bulletin/ms00-078.asp
P.S ja juz sprawdzilem
:)12