CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Net-Worm.Win32.Nimda

Classe Net-Worm
Plateforme Win32
Description

Détails techniques

Il s'agit d'un virus qui se propage via Internet relié à des e-mails infectés, et se copie dans des répertoires partagés sur un réseau local, et attaque également les machines IIS vulnérables (sites Web). Le ver lui-même est un fichier Windows PE EXE d'environ 57 Ko, écrit en Microsoft C ++.

Pour s'exécuter à partir d'un message infecté, le ver exploite une faille de sécurité. Le ver s'installe ensuite dans le système et exécute une routine d'étalement et une charge utile.

Le ver contient la chaîne de texte "copyright" suivante:

Virus Concept (CV) V.5, Copyright (C) 2001 RPChina

Installation

Lors de l'installation, le ver se copie:

dans le répertoire Windows avec le nom MMC.EXE

dans le répertoire système Windows avec RICHED20.DLL (et remplace le fichier original Windows RICHED20.DLL) et avec le nom LOAD.EXE.

Le dernier est ensuite enregistré dans la section d'exécution automatique dans un fichier SYSTEM.INI:

[boot] shell = explorer.exe load.exe -dontrunold

Le ver se copie également dans un répertoire temporaire avec des noms MEP * .TMP et MA * .TMP.EXE aléatoires, par exemple:

mep01A2.TMP
mep1A0.TMP.exe
mepE002.TMP.exe
mepE003.TMP.exe
mepE004.TMP

Les fichiers EXE ont des attributs Hidden et System, ainsi qu'un fichier LOAD.EXE (voir ci-dessus).

Le ver exécute alors ses routines d'étalement et de charge utile. Selon la version de Windows, le ver affecte le processus EXLORER.EXE et peut exécuter ses routines en tant que processus d'arrière-plan (thread) EXPLORER.

Diffusion par courrier électronique

Pour envoyer des messages infectés, le ver se connecte à une machine hôte en utilisant le protocole SMTP et envoie ses copies aux adresses des victimes.

Pour obtenir des adresses de messagerie de victimes, le ver utilise deux méthodes:

1. analyse les fichiers * .HTM et * .HTML et recherche des chaînes de type courrier électronique

2. en utilisant MAPI, se connecte aux boîtes de messagerie MS Exchange et obtient des adresses de messagerie à partir de là.

Les messages infectés sont au format HTML et contiennent:

Sujet: vide ou aléatoire
Corps: vide
Joindre: README.EXE

Les sujets sont choisis à partir du nom d'un fichier sélectionné au hasard dans un dossier:

HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerShell FoldersPersonnel

Généralement, il s'agit de "Mes documents" ou d'un fichier sélectionné au hasard sur le lecteur C :.

Pour se propager à partir de messages infectés, le ver utilise un astuce "IFRAME"; la vulnérabilité décrite à:

Bulletin de sécurité Microsoft (MS01-020): Un en-tête MIME incorrect peut provoquer l'exécution d'une pièce jointe à un courrier électronique par E-mail http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

Patch de téléchargement:

http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp

Quelles sont les causes de la vulnérabilité?

Si un courrier HTML contient une pièce jointe exécutable, dont le type MIME est incorrectement donné comme l'un des types inhabituels, une faille dans IE entraînera l'exécution de la pièce jointe sans afficher un dialogue d'avertissement.

Que fait le patch?

Le correctif élimine la vulnérabilité en corrigeant la table des types MIME et leurs actions associées dans IE. Cela a pour effet d'empêcher les e-mails de lancer automatiquement des pièces jointes exécutables.

Répartir via le réseau local

Le ver scanne les lecteurs distants locaux et partagés (mappés) de trois manières différentes et infecte tous les répertoires accessibles.

En infectant, le ver utilise deux manières différentes:

1. Il crée des fichiers .EML (95% du temps) ou .NWS (5%) avec des noms choisis au hasard. Par conséquent, ces fichiers EML et NWS sont partout sur une machine infectée (et dans le réseau local), et ils peuvent être des milliers. Ces fichiers contiennent la copie du ver sous forme de courrier électronique.

Le formulaire de courrier électronique est un message électronique HTML avec la copie du ver dans une enveloppe MIME et avec une astuce IFRAME comme décrit ci-dessus. À l'ouverture, ce message infecte immédiatement une machine vulnérable.

2. Le ver recherche les combinaisons de noms de fichiers et d'extensions:

* DEFAUT *, * INDEX *, * MAIN *, * README * + .HTML, .HTM, .ASP

(* NAME * signifie qu'il peut s'agir d'une sous-chaîne dans le nom du fichier)

Dans le cas où un tel fichier est trouvé, le ver se copie sous forme e-mail avec le nom README.EML et ajoute au fichier HTM / ASP d'une victime un programme JavaScript qui ouvre simplement le fichier README.EML lorsque le fichier HTML / ASP Le fichier est en cours d'ouverture, ce qui active le ver.

Par conséquent, le ver infecte les pages Web et peut se propager aux ordinateurs qui visitent ces sites Web.

Diffusion en tant qu'attaque IIS

Pour télécharger son fichier sur la machine d'une victime, le ver utilise une commande "tftp" et active un serveur TFTP temporaire sur une machine infectée (actuelle) pour traiter la commande "get data" de la machine (distante) de la victime manière comme {{"BlueCode": IISWorm_BlueCode} ver IIS.

Le nom du fichier téléchargé sur l'ordinateur d'une victime est ADMIN.DLL.

Charges utiles

La routine de charge utile ajoute un utilisateur "invité" au groupe d'utilisateurs administrateur (en conséquence, un utilisateur "invité" a un accès complet à une machine infectée).

Le ver ouvre également tous les lecteurs locaux à partager.

Il existe plusieurs variantes du ver "Nimda".

Tous sont très fermés à l'original, et la plupart d'entre eux sont juste une version "corrigée" du ver original – les chaînes de texte dans le corps du ver sont remplacées par d'autres chaînes).

Nimda.b

C'est le ver "Nimda" original, cependant compressé par un compresseur de fichiers PCShrink Win32 PE EXE. Les cordes:

README.EXE, README.EML

sont remplacés par:

PUTA !!. SCR, PUTA !!. EML

Nimda.c

C'est exactement le ver "Nimda" d'origine bien que compressé par un compresseur UPX.

Nimda.d

Cette variante du ver a été postée sur Internet fin octobre 2001. Elle a été diffusée sous forme compressée (compresseur PECompact) et ce formulaire a une taille de 27K.

La seule différence avec le ver original est les chaînes de texte "copyright" qui sont patchées dans cette version avec le texte suivant:

HoloCaust Virus.! V.5.2 par Stephan Fernandez.Spain

Nimda.e

C'est une variante "Nimda" recompilée, et il y a plusieurs routines mineures soit légèrement fixes et / ou optimisées. Cette variante a été découverte à l'état sauvage à la fin d'octobre 2001.

Les différences visibles par rapport à la version originale du ver sont:

Le nom de fichier joint:
SAMPLE.EXE (au lieu de README.EXE)

Les fichiers DLL sont:
HTTPODBC.DLL et COOL.DLL (au lieu de ADMIN.DLL)

Le texte "copyright" est remplacé par:
Virus Concept (CV) V.6, Copyright (C) 2001, (Ceci est CV, No Nimda.)


Lien vers l'original