Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv.

Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.

Net-Worm.Win32.Nimda

Třída Net-Worm
Platfoma Win32
Popis

Technické údaje

Jedná se o virový červ, který se šíří přes Internet připojený k infikovaným e-mailům a kopíruje se do sdílených adresářů prostřednictvím lokální sítě a také napadá zranitelné stroje IIS (webové stránky). Červ samotný je soubor Windows PE EXE o délce 57 kB a je napsán v jazyce Microsoft C ++.

Aby mohl spustit z infikované zprávy, červa využívá porušení zabezpečení. Červ se pak instaluje do systému a provozuje rozšiřující rutinu a užitečné zatížení.

Červ obsahuje následující textový řetězec "autorských práv":

Concept Virus (CV) V.5, Autorská práva (C) 2001 RPChina

Instalace

Během instalace se červ sám zkopíruje:

do adresáře systému Windows s názvem MMC.EXE

do adresáře systému Windows s RICHED20.DLL (a přepsá původní soubor RICHED20.DLL systému Windows) a s názvem LOAD.EXE.

Ten poslední je registrován v sekci automatického spuštění v souboru System.ini:

[boot] shell = explorer.exe load.exe -dontrunold

Červ se také zkopíruje do dočasného adresáře s náhodnými názvy MEP * .TMP a MA * .TMP.EXE, například:

mep01A2.TMP
mep1A0.TMP.exe
mepE002.TMP.exe
mepE003.TMP.exe
mepE004.TMP

Soubory EXE mají skryté a systémové atributy, stejně jako soubor LOAD.EXE (viz výše).

Červ potom řídí své rozšiřující a užitečné rutiny. V závislosti na verzi systému Windows se červ dotýká procesu EXLORER.EXE a může pracovat s jeho rutinami jako proces podprocesu (podproces) aplikace EXPLORER.

Šíření prostřednictvím e-mailu

Za účelem zasílání infikovaných zpráv se červ připojí k hostitelskému počítači pomocí protokolu SMTP a odesílá své kopie adresám obětí.

Aby získal e-mailové adresy obětí, používá červa dvěma způsoby:

1. skenuje * .HTM a * .HTML soubory a vyhledává e-mailové řetězce

2. pomocí MAPI se připojí k e-mailovým schránek MS Exchange a odtud získá e-mailové adresy.

Infikované zprávy jsou ve formátu HTML a obsahují:

Předmět: prázdný nebo náhodný
Tělo: prázdné
Připojit: README.EXE

Subjekty jsou vybrány ze jména náhodně vybraného souboru ze složky:

HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerShell FoldersPersonal

obvykle je to "Moje dokumenty" nebo náhodně vybraný soubor na jednotce C:

Za účelem šíření z infikovaných zpráv používá červa trik "IFRAME"; zranitelnost popsaná na adrese:

Bulletin zabezpečení společnosti Microsoft (MS01-020): Nesprávná záhlaví MIME může způsobit, že aplikace IE provede přílohu e-mailu http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

Stáhnout opravu:

http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp

Co způsobuje zranitelnost?

Pokud poštovní zásilka ve formátu HTML obsahuje spustitelnou přílohu, jejíž typ MIME je nesprávně uveden jako jeden z několika neobvyklých typů, v IE chyba způsobí, že příloha bude provedena bez zobrazení varovného dialogu.

Co dělá náplast?

Oprava odstraní tuto chybu opravou tabulky typů MIME a jejich souvisejících akcí v IE. To má za následek zabránění tomu, aby se e-maily mohly automaticky spouštět spustitelné přílohy.

Šíření přes místní síť

Červ kontroluje lokální a sdílené (mapované) vzdálené jednotky ve třech různých způsobech a infikuje všechny dostupné adresáře tam.

Během infekce používá červ za dvěma způsoby:

1. Vytvoří soubory typu .EML (95% času) nebo .NWS (5%) s náhodně vybranými názvy. Výsledkem je, že tyto soubory EML a NWS jsou všude na infikovaném počítači (a v místní síti) a mohou jich být tisíce. Tyto soubory obsahují kopii červa v e-mailovém formuláři.

Formulář elektronické pošty je e-mailová zpráva ve formátu HTML s kopií červa v obálce MIME a trikem IFRAME, jak je popsáno výše. Po otevření se tato zpráva okamžitě infikuje zranitelným počítačem.

2. Červ hledá kombinace názvu souboru + rozšíření:

* DEFAULT *, * INDEX *, * MAIN *, * README * + .HTML, .HTM, .ASP

(* NAME * znamená, že může být v názvu souboru podřízený řetězec)

V případě nalezení takového souboru se červeň zkopíruje do e-mailového formuláře tam s názvem README.EML a připojuje k souboru HTM / ASP oběti program JavaScript, který jednoduše otevře soubor README.EML při HTML / ASP soubor je otevřen, čímž se aktivuje červ.

V důsledku toho červa infikuje webové stránky a může se šířit na počítače, které tyto webové stránky navštěvují.

Šíření jako útok IIS

Chcete-li soubor nahrať do počítače oběti, použije čep příkaz "tftp" a aktivuje dočasný server TFTP na infikovaném (aktuálním) počítači, aby zpracoval příkaz "get data" z počítače (vzdáleného) oběti přesně stejný jako červ červů služby IISWorm_BlueCode {"BlueCode".

Název souboru, který je odeslán do počítače oběti, je ADMIN.DLL.

Užitné zatížení

Rutina užitečného zatížení přidává uživatele "Host" do skupiny Administrator User Group (v důsledku toho má uživatel "Hostitel" plný přístup k infikovanému počítači).

Červ také otevírá všechny lokální jednotky pro sdílení.

Existuje několik variant červa "Nimda".

Všechny z nich jsou velmi originální a většina z nich je jen "opravená" verze původního wormu – textové řetězce v červovém těle jsou nahrazeny jinými řetězci).

Nimda.b

Jedná se o původní "Nimda" červ, komprimovaný kompresorem PCShrink Win32 PE EXE. Řetězce:

README.EXE, README.EML

se nahrazují tímto:

PUTA, SCR, PUTA, EML

Nimda.c

Jedná se přesně o původní "Nimda" červ, i když komprimovaný kompresorem UPX.

Nimda.d

Tato varianta červa byla na konci října 2001 zaslána na internet. Rozložila se ve stlačené podobě (kompresor PECompact) a tato forma má velikost 27 kB.

Jediný rozdíl od původního wormu jsou textové řetězce "autorských práv", které jsou v této verzi opraveny následujícím textem:

Virus HoloCaust.! V.5.2 Stephan Fernandez.Spain

Nimda.e

Jedná se o rekompilovanou variantu "Nimda" a existuje několik drobných rutin buď mírně fixovaných a / nebo optimalizovaných. Tato varianta byla nalezena ve volné přírodě koncem října 2001.

Viditelné rozdíly od původní verze červů jsou:

Přiložený název souboru:
SAMPLE.EXE (namísto README.EXE)

Soubory DLL jsou:
HTTPODBC.DLL a COOL.DLL (namísto ADMIN.DLL)

Text o autorských právech se nahrazuje tímto:
Concept Virus (CV) V.6, Copyright (C) 2001, (Toto je životopis, ne Nimda.)


Odkaz na originál