[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Новый вирус
http://www.compulenta.ru/news/2001/9/19/19360/
Подробности о вирусе Nimda от "Лаборатории Касперского"
19.09.2001, 12:58
Вчера в Интернете началась эпидемия опасного вируса "Nimda", который
способен поражать компьютеры без вмешательства человека. За считанные часы
были заражены тысячи компьютеров, и прогнозы специалистов крайне
неутешительны. По мнению "Лаборатории Касперского", 9 из 10 компьютеров в
России не имеют никакой защиты от нового вируса.
"Nimda" является Интернет-червем, распространяющимся по сети Интернет в виде
вложенных файлов в сообщениях электронной почты, по ресурсам локальных
сетей,
а также проникающий на незащищенные IIS-серверы. Оригинальный файл-носитель
червя имеет имя README.EXE и представляет собой программу формата Windows PE
EXE, размером около 57 килобайт и написанную на языке программирования
Microsoft C++.
Для активизации из писем электронной почты "Nimda" использует брешь в
системе безопасности Internet Explorer, так что владелец незащищенного
компьютера даже не заметит факта заражения. После этого червь инициирует
процедуры внедрения в систему, распространения и запускает деструктивные
функции.
В теле червя содержится строка:
Concept Virus(CV) V.5, Copyright(C)2001 R.P.China
В процессе внедрения червь "разбрасывает" свои копии в директории Windows
под именем MMC.EXE, системной директории Windows под именем RICHED20.DLL и
LOAD.EXE. Настоящий RICHED20.DLL, необходимый для работы множества программ
(к пример, Wordpad'а, входящего в состав операционной системы), при этом
уничтожается. Червь также копирует себя во временную директорию Windows со
случайными именами MEP*.TMP и MA*.TMP.EXE. Файл LOAD.exe регистрируется в
секции автозапуска конфигурационного файла SYSTEM.INI.
После этого "Nimda" запускает процедуру распространения, маскируя свои
действия под фоновым процессом EXPLORER. Для отправки с зараженных
компьютеров писем электронной почты "Nimda" создает SMTP-соединение и с его
помощью пересылает свои копии на другие адреса электронной почты.
Чтобы раздобыть адреса электронной почты своих новых жертв, червь сканирует
все файлы с расширением .HTM и .HTML и выбирает из них найденные адреса.
Кроме того, при помощи MAPI-функций он получает доступ к почтовым ящикам MS
Exchange и также считывает из них адреса.
Рассылаемые "Nimda" письма имеют формат HTML. Тема письма выбирается
случайным образом в соответствии с названием случайного файла из папки "Мои
Документы" или любого другого файла на диске C:. В этом Nimda напоминает
Sircam.
Для внедрения в систему из зараженных писем электронной почты "Nimda"
использует
брешь в системе безопасности Internet Explorer которая позволяет
автоматически выполнить вложенный исполняемый файл. Данная брешь была
обнаружена в конце марта 2001 г. "Заплатку", устраняющую её, можно скачать
на сайте Microsoft.
Для распространения по локальной сети червь сканирует локальные и
установленные сетевые диски и заражает их, создавая файлы со случайными
именами и расширениями .EML или .NWS (последнее, впрочем, встречается
нечасто) и "разбрасывает" их на найденных дисках. Эти расширения являются
стандартными для писем электронной почты. В результате, компьютеры (как
зараженный, так и подключенные к локальной сети) могут содержать тысячи
подобных файлов, в которых содержится копия червя.
Все эти файлы являются электронными письмами в формате HTML, содержащими
копию
"Nimda" в виде вложенного объекта. При запуске таких файлов срабатывает
описанная
выше брешь в защите Intеrnet Explorer и на компьютер немедленно внедряется
копия
червя.
Помимо этого, червь ищет файлы, в именах которых есть слова DEFAULT, INDEX,
MAIN или README, а расширениями являются .HTML, .HTM, .ASP. Это, как
правило, основные страницы сайтов. Найдя такой файл, червь создает в одной
папке с ним заражённое письмо README.EML, а затем модифицирует его, добавляя
туда короткую JavaScript-программу. При просмотре модифицированной страницы
JavaScript-программа загружает README.EML, что приводит к заражению червем.
Таким образом Nimda заражает существующие Web-сайты и может проникать на
компьютеры посетителей сайтов.
Атака IIS-серверов происходит способом, примененном в IIS-черве "BlueCode".
Для внедрения на удаленные IIS-серверы червь использует команду "tftp",
активизирует временный TFTP-сервер на зараженном компьютере и с его помощью
загружает на целевую машину свою копию (ADMIN.DLL). Далее, специальным
запросом эта копия активизируется.
"Nimda" имеет опасный побочный эффект, который может допустить утечку
конфиденциальной информации с зараженных компьютеров. Червь добавляет
пользователя под именем "Guest" в группу пользователей "Администраторы".
Таким образом, "Guest" имеет полный доступ к ресурсам компьютера.
Одновременно все локальные диски открываются для полного доступа всех
желающих.