Apa itu Nimda?
Pertama kali muncul pada 18 September 2001, Nimda adalah sebuah virus komputer yang menyebabkan penurunan lalu lintas karena menyebar melalui Internet. Nimda menyebar melalui empat metode berbeda, menginfeksi komputer yang menjalankan web server Microsoft Windows, yang dikenal sebagai Internet Information Server (IIS), dan pengguna komputer yang membuka lampiran email.
Seperti beberapa virus pendahulunya, payload dari worm Nimda tampaknya adalah penurunan lalu lintas itu sendiri.
Virus ini tidak merusak file di sistem operasi atau menyebabkan kerusakan pada keamanan komputer. Sebaliknya, virus ini lebih berfungsi untuk menyebabkan kekacauan melalui pelambatan lalu lintas atau denial of service.
Nama file-nya, yang jika dibaca terbalik adalah “admin”, merujuk pada file admin.dll yang dibagikan melalui pesan email yang, ketika dijalankan, terus menyebar, menyebabkan wabah salinan worm. Nimda mempengaruhi komputer yang menjalankan Windows 95, 98, 2000, dan Windows NT serta XP sebelum patch dibuat untuk memperbaiki kerentanannya.
Sebuah perusahaan bernama F-Secure menemukan teks “Concept Virus(CV) V.5, Copyright(C)2001 R.P.China” di dalam kode Nimda, yang membantu mempersempit asal-usul virus ini.
Contoh lain adalah wabah Code Red dan Code Red II yang menyerang komputer yang menjalankan Microsoft IIS. Tidak seperti Nimda, worm ini membuat sebuah backdoor di sistem target, menjadikannya rentan terhadap serangan di masa depan.
Apa yang dilakukan malware Nimda?
Nimda menyisir setiap alamat IP dalam rentang alamat IP yang dipilih secara acak, mencoba mengeksploitasi kelemahan yang, kecuali sudah dipatch, diketahui ada pada komputer yang menjalankan Internet Information Server milik Microsoft.
Sebuah sistem dengan web server IIS yang terbuka membaca situs web yang mengandung JavaScript yang secara otomatis dieksekusi, menyebabkan kode JavaScript yang sama menyebar ke semua halaman web di server tersebut.
Ketika pengguna dengan browser Microsoft Internet Explorer versi 5.01 atau lebih lama mengunjungi situs di server web yang terinfeksi, mereka tanpa sengaja mengunduh halaman dengan JavaScript.
JavaScript ini secara otomatis dieksekusi, mengirim virus secara acak dari komputer yang terinfeksi ke perangkat lain di Internet. Hacker Nimda juga dapat menginfeksi pengguna dalam jaringan internal server web dengan berbagi jaringan terbuka (sebagian ruang file).
Akhirnya, virus Nimda menyebabkan sistem yang terinfeksi mengirimkan email dengan lampiran executable readme.exe ke alamat di buku alamat Windows lokal. Pengguna yang membuka atau mempratinjau lampiran ini — sebuah situs web yang terinfeksi dengan JavaScript — akan menyebarkan virus lebih lanjut.
Bagaimana cara melindungi sistem Anda dari malware
Sebagai praktik terbaik, pengguna PC sebaiknya tidak membuka lampiran file readme.exe atau readme.eml yang dikirim melalui email. Lebih penting lagi, pengguna seharusnya tidak membuka file atau tautan yang tidak mereka kenali atau dari pengirim yang tidak mereka kenali.
Pengguna juga harus selalu memastikan bahwa mereka menjalankan versi terbaru dari browser mereka.
Jika mereka yakin sistemnya terinfeksi:
- Putuskan titik masuk untuk infeksi tersebut.
- Pulihkan sistem dari cadangan atau format ulang dan instal/patch OS.
- Pulihkan data yang ada — baik terinfeksi maupun tidak — dan kemudian bersihkan sistem serta pindai dengan perangkat lunak antivirus.
- Jika sistem lulus, sambungkan kembali ke jaringan.
Setelah sistem korban dipulihkan sepenuhnya, pasang perangkat lunak antivirus terpercaya di perangkat tersebut. Penyedia terpercaya termasuk Norton, McAfee, dan Symantec.