Kaspersky Lab: szkodliwe programy VI 2011

Przeczytaj także: Kaspersky Lab: szkodliwe programy V 2011

Wirus Nimnul.a infekuje pliki wykonywalne poprzez dodawanie sekcji .text na koniec pliku i modyfikowanie jego punktu wejścia. Po uruchomieniu zainfekowany plik sprawdza obecność unikatowego identyfikatora wirusa (Mutex) w systemie operacyjnym. Obecność obiektu Mutex oznacza, że w systemie został uruchomiony kolejny zainfekowany plik. W takim przypadku, wirus uruchamia tylko oryginalną aplikację. Jeżeli Mutex nie zostanie znaleziony, zostanie stworzony, a następnie na dysku zostanie umieszczony główny komponent Nimnula. Komponent ten zapisuje na dysku kilka innych szkodliwych bibliotek.
Szkodnik kradnie prywatne pliki konfiguracyjne dla popularnych przeglądarek, łączy się ze zdalnym serwerem, po czym może już podmienić strony internetowe.

Wirus rozprzestrzenia się za pośrednictwem nośników wymiennych przy użyciu autorun.inf i własnych plików infekcji. Co ciekawe, szkodnik ten został odnotowany w Indiach, Indonezji, Bangladeszu oraz Wietnamie. Są to państwa o najwyższym odsetku maszyn należących do sieci KSN, na których został wykryty szkodnik: Bangladesz (85,76%), Indie (65,27%), Indonezja (59,51%) oraz Wietnam (54,16%). Użytkownicy w tych krajach najwyraźniej nie stosują wystarczających środków ostrożności w zakresie bezpieczeństwa IT i wykorzystują niezałatane wersje systemów Windows. 8 lutego 2011 roku Microsoft opublikował aktualizację, która wyłącza funkcję automatycznego uruchamiania z nośników wymiennych.