[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Новый вирус

To: <[email protected]>
Subject: Новый вирус
From: Спицын Сергей <[email protected]>
Date: Thu, 20 Sep 2001 09:15:18 +0600
References: <[email protected]> <003801c1416d$1bb87a40$7b8d5bc3@blackcat>
Reply-To: [email protected]
Sender: [email protected]
http://www.compulenta.ru/news/2001/9/19/19360/

Подробности о вирусе Nimda от "Лаборатории Касперского"

19.09.2001, 12:58
Вчера в Интернете началась эпидемия опасного вируса "Nimda", который
способен поражать компьютеры без вмешательства человека. За считанные часы
были заражены тысячи компьютеров, и прогнозы специалистов крайне
неутешительны. По мнению "Лаборатории Касперского", 9 из 10 компьютеров в
России не имеют никакой защиты от нового вируса.

"Nimda" является Интернет-червем, распространяющимся по сети Интернет в виде
вложенных файлов в сообщениях электронной почты, по ресурсам локальных
сетей,
а также проникающий на незащищенные IIS-серверы. Оригинальный файл-носитель
червя имеет имя README.EXE и представляет собой программу формата Windows PE
EXE, размером около 57 килобайт и написанную на языке программирования
Microsoft C++.

Для активизации из писем электронной почты "Nimda" использует брешь в
системе безопасности Internet Explorer, так что владелец незащищенного
компьютера даже не заметит факта заражения. После этого червь инициирует
процедуры внедрения в систему, распространения и запускает деструктивные
функции.

В теле червя содержится строка:
Concept Virus(CV) V.5, Copyright(C)2001 R.P.China

В процессе внедрения червь "разбрасывает" свои копии в директории Windows
под именем MMC.EXE, системной директории Windows под именем RICHED20.DLL и
LOAD.EXE. Настоящий RICHED20.DLL, необходимый для работы множества программ
(к пример, Wordpad'а, входящего в состав операционной системы), при этом
уничтожается. Червь также копирует себя во временную директорию Windows со
случайными именами MEP*.TMP и MA*.TMP.EXE. Файл LOAD.exe регистрируется в
секции автозапуска конфигурационного файла SYSTEM.INI.

После этого "Nimda" запускает процедуру распространения, маскируя свои
действия под фоновым процессом EXPLORER. Для отправки с зараженных
компьютеров писем электронной почты "Nimda" создает SMTP-соединение и с его
помощью пересылает свои копии на другие адреса электронной почты.

Чтобы раздобыть адреса электронной почты своих новых жертв, червь сканирует
все файлы с расширением .HTM и .HTML и выбирает из них найденные адреса.
Кроме того, при помощи MAPI-функций он получает доступ к почтовым ящикам MS
Exchange и также считывает из них адреса.

Рассылаемые "Nimda" письма имеют формат HTML. Тема письма выбирается
случайным образом в соответствии с названием случайного файла из папки "Мои
Документы" или любого другого файла на диске C:. В этом Nimda напоминает
Sircam.

Для внедрения в систему из зараженных писем электронной почты "Nimda"
использует
брешь в системе безопасности Internet Explorer которая позволяет
автоматически выполнить вложенный исполняемый файл. Данная брешь была
обнаружена в конце марта 2001 г. "Заплатку", устраняющую её, можно скачать
на сайте Microsoft.

Для распространения по локальной сети червь сканирует локальные и
установленные сетевые диски и заражает их, создавая файлы со случайными
именами и расширениями .EML или .NWS (последнее, впрочем, встречается
нечасто) и "разбрасывает" их на найденных дисках. Эти расширения являются
стандартными для писем электронной почты. В результате, компьютеры (как
зараженный, так и подключенные к локальной сети) могут содержать тысячи
подобных файлов, в которых содержится копия червя.

Все эти файлы являются электронными письмами в формате HTML, содержащими
копию
"Nimda" в виде вложенного объекта. При запуске таких файлов срабатывает
описанная
выше брешь в защите Intеrnet Explorer и на компьютер немедленно внедряется
копия
червя.

Помимо этого, червь ищет файлы, в именах которых есть слова DEFAULT, INDEX,
MAIN или README, а расширениями являются .HTML, .HTM, .ASP. Это, как
правило, основные страницы сайтов. Найдя такой файл, червь создает в одной
папке с ним заражённое письмо README.EML, а затем модифицирует его, добавляя
туда короткую JavaScript-программу. При просмотре модифицированной страницы
JavaScript-программа загружает README.EML, что приводит к заражению червем.
Таким образом Nimda заражает существующие Web-сайты и может проникать на
компьютеры посетителей сайтов.

Атака IIS-серверов происходит способом, примененном в IIS-черве "BlueCode".
Для внедрения на удаленные IIS-серверы червь использует команду "tftp",
активизирует временный TFTP-сервер на зараженном компьютере и с его помощью
загружает на целевую машину свою копию (ADMIN.DLL). Далее, специальным
запросом эта копия активизируется.

"Nimda" имеет опасный побочный эффект, который может допустить утечку
конфиденциальной информации с зараженных компьютеров. Червь добавляет
пользователя под именем "Guest" в группу пользователей "Администраторы".
Таким образом, "Guest" имеет полный доступ к ресурсам компьютера.
Одновременно все локальные диски открываются для полного доступа всех
желающих.
Follow-Ups:
- Re: Новый вирус
  - From: Michael Yutsis <[email protected]>
References:
- Re: Re: Re: women
  - From: Gagarina Natalia <[email protected]>
- Re: Re: Re: women
  - From: "Mux. nECKAPb" <[email protected]>
Prev by Date: Re: Re: Re[4]: women
Next by Date: Re: Re[2]: Wanted!!! - 2
Prev by thread: Re: Re: Re: women
Next by thread: Re: Новый вирус
Index(es):
- Date
- Thread