|
ru.nethack
- RU.NETHACK -------------------------------------------------------------------
From : ‚« ¤ ЏҐаиЁ 2:5067/2.1000 16 Oct 2001 22:59:55
To : All
Subject : NIMDA
--------------------------------------------------------------------------------
> Куда ты денешься, All, ты же на подводной лодке!
I-Worm.Nimda
"Nimda" является Интернет-червем, распространяющимся по сети Интернет в виде
вложенных файлов в сообщениях электронной почты, по ресурсам локальных сетей, а
также проникающий на незащищенные IIS-серверы. Оригинальный файл-носитель червя
имеет имя README.EXE и представляет собой программу формата Windows PE EXE,
размером около 57 килобайт и написанную на языке программирования Microsoft C++.
Для активизации из писем электронной почты "Nimda" использует брешь в системе
безопасности Internet Explorer, так что владелец незащищенного компьютера даже
не заметит факта заражения. После этого червь инициирует процедуры внедрения в
систему, распространения и запускает деструктивные функции.
В теле червя содержится строка:
Concept Virus(CV) V.5, Copyright(C)2001 R.P.China
Внедрение в систему
В процессе внедрения червь "разбрасывает" свои копии в следующих местах:
Директория Windows под именем MMC.EXE
Системная директория Windows под именем RICHED20.DLL (одновременно уничтожая
оригинальный файл RICHED20.DLL, входящий в поставку Windows)
Системная директория Windows под именем LOAD.EXE
Последний файл регистрируется в секции автозапуска конфигурационного файла
SYSTEM.INI следующим образом:
[boot]
shell=explorer.exe load.exe -dontrunold
Червь также копирует себя во временную директорию Windows со случайными именами
MEP*.TMP и MA*.TMP.EXE. Hапример:
mep01A2.TMP
mep1A0.TMP.exe
mepE002.TMP.exe
mepE003.TMP.exe
mepE004.TMP
Файлы формата EXE этого типа, а также файл LOAD.EXE (см. выше) имеют атрубуты
"скрытый" и "системный".
После этого "Nimda" запускает процедуру распространения. В зависимости от версии
Windows червь использует для этого процесс EXPLORER.EXE и, таким образом, может
маскировать свои действия под фоновым процессом EXPLORER.
Распространение по электронной почте
Для отправки с зараженных компьютеров писем электронной почты "Nimda" создает
SMTP-соединение и с его помощью пересылает свои копии на другие адреса
электронной почты.
Для получения целевых адресов электронной почты червь использует следующие
уловки:
сканирует все файлы с расширением .HTM и .HTML и выбирает из них найденные
адреса
при помощи MAPI-функций получает доступ к почтовым ящикам MS Exchange и также
считывает из них адреса.
Рассылаемые "Nimda" письма имеют формат HTML и выглядят следующим образом:
Тема письма: пустая или случайная
Тело письма: пустое
Вложенный файл: README.EXE
Тема письма выбирается случайным образом в соответствии с названием случайного
файла из папки "Мои Документы" или любого другого файла на диске C:
Путь к папке "Мои Документы" червь берет из ключа системного реестра Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Personal
Для внедрения в систему из зараженных писем электронной почты "Nimda" использует
брешь в системе безопасности Internet Explorer которая позволяет автоматически
выполнить вложенный исполняемый файл. Данная брешь была обнаружена в конце марта
2001 г. и описана в бюллетене Microsoft
(http://www.microsoft.com/technet/security/bulletin/MS01-020.asp)
"Заплатка". устраняющая данную брешь доступна для загрузки по адресу:
http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp
Распространение по локальной сети
Для распространения по локальной сети червь сканирует локальные и установленные
сетевые диски и заражает их следующими способами:
1) Создает файлы со случайными именами и расширениями .EML (в 95% случаев) или
.NWS (в 5% случаев) и "разбрасывает" их на найденных дисках. Эти расширения
являются стандартными для писем электронной почты. В результате, компьютеры (как
зараженный, так и подключенные к локальной сети) могут содержать тысячи подобных
файлов, в которых содержится копия червя.
Эти файлы являются электронными письмами в формате HTML, содержащими копию
"Nimda" в виде вложенного объекта. При запуске таких файлов срабатывает
описанная выше брешь в защите Intrenet Explorer и на компьютер немедленно
внедряется копия червя.
2) Червь ищет файлы, в именах и расширениях которых присутствуют следующие
комбинации:
Имена: *DEFAULT* , *INDEX* , *MAIN* , *README*
Расширения: .HTML, .HTM, .ASP
Если такой файл найден, червь создает в одной папке с ним файл README.EML
(аналогичный создаваемым в п.1). Затем он модифицирует найденный файл, добавляя
в него короткую JavaScript-программу. При просмотре модифицированной страницы
JavaScript-программа загружает README.EML, что приводит к заражению червем.
В результате червь заражает существующие Web-сайты и может проникать на
компьютеры посетителей сайтов.
Внедрение на IIS-серверы
Атака IIS-серверов происходит способом, примененном в IIS-черве "BlueCode". Для
внедрения на удаленные IIS-серверы червь использует команду "tftp", активизирует
временный TFTP-сервер на зараженном компьютере и с его помощью загружает на
целевую машину свою копию (ADMIN.DLL). Далее, специальным запросом эта копия
активизируется.
Деструктивные функции
"Nimda" имеет опасный побочный эффект, который может допустить утечку
конфиденциальной информации с зараженных компьютеров. Червь добавляет
пользователя под именем "Guest" в группу пользователей "Администраторы". Таким
образом, "Guest" имеет полный доступ к ресурсам компьютера.
Помимо этого "Nimda" незаметно открывает все локальные диски для полного доступа
всех желающих.
КАК ОH ЭТО ДЕЛАЕТ ? Кто подскажет _какясабжярасшариваетядиски_ ?
_СяУважениемя,яВлад_
Втp Окт 16 2001 22:59 #E-mail# : pupkin-vasia@yandex.ru
--- Fatal ERROR: Restart you life in MS-DOS Mode !
* Origin: Будут мысли-пишите, будут деньги-высылайте ! (2:5067/2.1000)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
NIMDA |
‚« ¤ ЏҐаиЁ |
16 Oct 2001 22:59:55 |
|
|
