DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Net-Worm.Win32.Nimda

Kategorie Net-Worm
Plattform Win32
Beschreibung

Technische Details

Dies ist ein Virus-Wurm, der sich über das Internet an infizierte E-Mails bindet und sich über ein lokales Netzwerk in freigegebene Verzeichnisse kopiert und auch anfällige IIS-Computer (Websites) angreift. Der Wurm selbst ist eine Windows PE EXE-Datei mit einer Länge von ca. 57 KB und ist in Microsoft C ++ geschrieben.

Um von einer infizierten Nachricht zu starten, nutzt der Wurm eine Sicherheitsverletzung. Der Wurm installiert sich dann selbst im System und führt eine Spreizroutine und Nutzlast aus.

Der Wurm enthält die folgende "copyright" Textzeichenfolge:

Konzeptvirus (CV) V.5, Copyright (C) 2001 RPChina

Installieren

Während der Installation kopiert sich der Wurm selbst:

in das Windows-Verzeichnis mit dem Namen MMC.EXE

in das Windows-Systemverzeichnis mit RICHED20.DLL (und überschreibt ursprüngliche Windows RICHED20.DLL-Datei) und mit dem Namen LOAD.EXE.

Das letzte wird dann in dem Auto-run-Abschnitt in einer Datei SYSTEM.INI registriert:

[boot] shell = explorer.exe load.exe -dontrunold

Der Wurm kopiert sich auch in ein temporäres Verzeichnis mit zufälligen MEP * .TMP und MA * .TMP.EXE Namen, zum Beispiel:

mep01A2.TMP
mep1A0.TMP.exe
mepE002.TMP.exe
mepE003.TMP.exe
mepE004.TMP

EXE-Dateien haben Versteckte und Systemattribute sowie eine LOAD.EXE-Datei (siehe oben).

Der Wurm führt dann seine Verbreitungs- und Nutzlastroutinen aus. Abhängig von der Windows-Version beeinflusst der Wurm den EXLORER.EXE-Prozess und kann seine Routinen als Hintergrundprozess (Thread) eines EXPLORERS ausführen.

Verbreitung per E-Mail

Um infizierte Nachrichten zu senden, stellt der Wurm mithilfe des SMTP-Protokolls eine Verbindung zu einem Hostcomputer her und sendet seine Kopien an die Opferadressen.

Um Wurm-E-Mail-Adressen zu erhalten, verwendet der Wurm zwei Möglichkeiten:

1. Scannt * .HTM- und * .HTML-Dateien und sucht nach E-Mail-ähnlichen Strings

2. stellt mithilfe von MAPI eine Verbindung zu MS Exchange-E-Mail-Boxen her und ruft von dort E-Mail-Adressen ab.

Die infizierten Nachrichten sind im HTML-Format und enthalten:

Betreff: leer oder zufällig
Körper: leer
Anhängen: README.EXE

Themen werden aus dem Namen einer zufällig ausgewählten Datei aus einem Ordner ausgewählt:

HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerShell FoldersPersonal

Normalerweise ist dies "Meine Dokumente" oder eine zufällig ausgewählte Datei auf dem Laufwerk C:.

Um sich von infizierten Nachrichten zu verbreiten, benutzt der Wurm einen "IFRAME" -Trick; die beschriebene Sicherheitslücke bei:

Microsoft Security Bulletin (MS01-020): Falscher MIME-Header kann dazu führen, dass IE E-Mail-Anhang ausführt http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

Patch herunterladen:

http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp

Was verursacht die Sicherheitsanfälligkeit?

Wenn eine HTML-Mail einen ausführbaren Anhang enthält, dessen MIME-Typ fälschlicherweise als einer von mehreren ungewöhnlichen Typen angegeben ist, führt ein Fehler im IE dazu, dass der Anhang ausgeführt wird, ohne dass ein Warndialog angezeigt wird.

Was macht der Patch?

Der Patch behebt die Sicherheitsanfälligkeit, indem die Tabelle der MIME-Typen und die zugehörigen Aktionen in IE korrigiert werden. Dies verhindert, dass E-Mails ausführbare Anhänge automatisch starten können.

Verbreitung über das lokale Netzwerk

Der Wurm scannt lokale und freigegebene (zugeordnete) Remote-Laufwerke auf drei verschiedene Arten und infiziert alle zugänglichen Verzeichnisse dort.

Während der Infektion verwendet der Wurm zwei verschiedene Arten:

1. Es erstellt .EML (95% der Zeit) oder .NWS (5%) Dateien mit zufällig gewählten Namen. Daher befinden sich diese EML- und NWS-Dateien überall auf einem infizierten Computer (und im lokalen Netzwerk), und es kann Tausende von ihnen geben. Diese Dateien enthalten die Kopie des Wurms im E-Mail-Format.

Das E-Mail-Formular ist eine HTML-E-Mail-Nachricht mit der Wurmkopie in einem MIME-Umschlag und mit einem IFRAME-Trick wie oben beschrieben. Beim Öffnen infiziert diese Nachricht sofort eine anfällige Maschine.

2. Der Wurm sucht nach Kombinationen aus Dateiname und Erweiterung:

* DEFAULT *, * INDEX *, * MAIN *, * README * + .HTML, .HTM, .ASP

(* NAME * bedeutet, dass eine Unterzeichenfolge im Dateinamen sein kann)

Falls eine solche Datei gefunden wird, kopiert sich der Wurm in E-Mail-Form mit dem Namen README.EML dorthin und hängt an die HTM / ASP-Datei eines Opfers ein JavaScript-Programm an, das einfach die README.EML-Datei beim HTML / ASP öffnet Datei wird geöffnet, wodurch der Wurm aktiviert wird.

Infolgedessen infiziert der Wurm Webseiten und kann sich auf Computer verbreiten, die diese Websites besuchen.

Verbreitung als IIS-Angriff

Um seine Datei auf den Computer eines Opfers hochzuladen, verwendet der Wurm einen "tftp" -Befehl und aktiviert einen temporären TFTP-Server auf einem infizierten (aktuellen) Computer, um den "get data" -Befehl von der (entfernten) Maschine des Opfers genau zu verarbeiten So wie der {"BlueCode": IISWorm_BlueCode} IIS Wurm.

Der Name der Datei, die auf den Computer eines Opfers hochgeladen wird, lautet ADMIN.DLL.

Payloads

Die Nutzlast-Routine fügt der Administrator-Benutzergruppe den Benutzer "Gast" hinzu (daher hat ein Gast-Benutzer vollen Zugriff auf eine infizierte Maschine).

Der Wurm öffnet auch alle lokalen Laufwerke für die Freigabe.

Es gibt verschiedene Varianten des Wurms "Nimda".

Sie alle sind dem Original sehr verschlossen, und die meisten von ihnen sind nur eine "gepatchte" Version des ursprünglichen Wurms – die Textstrings im Wurmkörper werden durch andere Zeichenketten ersetzt.

Nimda.b

Dies ist der originale "Nimda" -Wurm, jedoch komprimiert von einem PCShrink Win32 PE EXE-Dateikompressor. Die Saiten:

README.EXE, README.EML

werden ersetzt durch:

PUTA, SCR, PUTA, EML

Nimda.c

Dies ist genau der ursprüngliche "Nimda" -Wurm, obwohl er von einem UPX-Kompressor komprimiert wurde.

Nimda.d

Diese Variante des Wurms wurde Ende Oktober 2001 an das Internet verschickt. Sie wurde in komprimierter Form (PECompact compressor) verbreitet, und diese Form ist 27K groß.

Der einzige Unterschied zum ursprünglichen Wurm sind die "copyright" -Textzeichenfolgen, die in dieser Version mit dem folgenden Text gepatcht werden:

Holocaust-Virus.! V.5.2 von Stephan Fernandez.Spain

Nimda.e

Dies ist eine neu kompilierte "Nimda" -Variante, und es gibt mehrere kleinere Routinen, entweder leicht korrigiert und / oder optimiert. Diese Variante wurde Ende Oktober 2001 in freier Wildbahn gefunden.

Die sichtbaren Unterschiede zur ursprünglichen Wurm-Version sind:

Der angehängte Dateiname:
SAMPLE.EXE (anstelle von README.EXE)

Die DLL-Dateien sind:
HTTPODBC.DLL und COOL.DLL (anstelle von ADMIN.DLL)

Der Text "Copyright" wird ersetzt durch:
Konzeptvirus (CV) V.6, Copyright (C) 2001, (Dieser Lebenslauf, kein Nimda.)


Link zum Original