Net-Worm.Win32.Nimda

技術的な詳細

これは、感染した電子メールに添付されたインターネット経由で拡散し、ローカルネットワーク上の共有ディレクトリに自身をコピーし、脆弱なIISマシン（Webサイト）を攻撃するウイルスワームです。ワーム自体は約57Kbの長さのWindows PE EXEファイルで、Microsoft C ++で書かれています。

ワームは、感染したメッセージから実行するために、セキュリティ違反を悪用します。その後、ワームはシステムに自身をインストールし、拡散ルーチンとペイロードを実行します。

ワームは以下の "著作権"テキスト文字列を含んでいます：

Concept Virus（CV）V.5、Copyright（C）2001 RPChina

インストール

インストール中、ワームは自身をコピーします：

MMC.EXE名でWindowsディレクトリに移動します。

RICHED20.DLL（および元のWindows RICHED20.DLLファイルを上書き）およびLOAD.EXE名でWindowsシステムディレクトリに移動します。

最後のものは、SYSTEM.INIファイルの自動実行セクションに登録されます。

[boot] shell = explorer.exe load.exe -dontrunold

ワームはまた、MEP * .TMPとMA * .TMP.EXEのランダムな名前を使用してTemporaryディレクトリに自身をコピーします。

mep01A2.TMP
mep1A0.TMP.exe
mepE002.TMP.exe
mepE003.TMP.exe
mepE004.TMP

EXEファイルには、隠し属性とシステム属性、LOAD.EXEファイル（上記参照）があります。

その後、ワームは拡散とペイロードのルーチンを実行します。ワームはWindowsのバージョンによって、EXLORER.EXEプロセスに影響を与え、EXPLORERのバックグラウンドプロセス（スレッド）としてそのルーチンを実行する可能性があります。

電子メールによる広がり

ワームは、感染したメッセージを送信するために、SMTPプロトコルを使用してホストマシンに接続し、そのコピーを被害者アドレスに送信します。

犠牲者の電子メールアドレスを取得するために、このワームは2つの方法を使用します。

* .HTMと* .HTMLファイルをスキャンし、電子メールのような文字列を探します。

2. MAPIを使用して、MS Exchangeの電子メールボックスに接続し、そこから電子メールアドレスを取得します。

感染したメッセージはHTML形式であり、以下を含みます。

件名：空またはランダム
ボディ：空
添付：README.EXE

サブジェクトは、フォルダからランダムに選択されたファイルの名前から選択されます。

HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerShell FoldersPersonal

通常これは「マイドキュメント」またはC：ドライブ上のランダムに選択されたファイルです。

感染したメッセージから広がるために、このワームは "IFRAME"トリックを使用します。この脆弱性は、

マイクロソフトセキュリティ情報（MS01-020）：不正なMIMEヘッダーにより、IEが電子メール添付ファイルを実行する可能性があります。http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

ダウンロードパッチ：

http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp

何が原因で起こりますか？

HTMLメールにMIMEタイプがいくつかの異常なタイプの1つとして間違って与えられている実行可能な添付ファイルが含まれていると、IEの欠陥により警告ダイアログを表示せずに添付ファイルが実行されます。

パッチは何をしますか？

この更新プログラムは、IEのMIMEタイプと関連するアクションの表を修正することにより、この脆弱性を排除します。これは、電子メールが実行可能な添付ファイルを自動的に起動できないようにする効果があります。

ローカルネットワークを介した広がり

ワームは、ローカルと共有（マップされた）リモートドライブを3つの異なる方法でスキャンし、そこにあるすべてのアクセス可能なディレクトリに感染します。

感染中、このワームは2つの異なる方法を使用します。

1.ランダムに選択された名前の.EMLファイル（95％の時間）または.NWS（5％）ファイルを作成します。その結果、これらのEMLファイルとNWSファイルは、感染したマシン（およびローカルネットワーク）のどこにでもあり、数千ものファイルが存在する可能性があります。これらのファイルには、電子メール形式のワームのコピーが含まれています。

電子メールフォームは、上記のように、MIMEエンベロープ内にワームのコピーがあり、IFRAMEトリックを持つHTML電子メールメッセージです。このメッセージが表示されると、すぐに脆弱なマシンに感染します。

2.このワームはファイル名と拡張子の組み合わせを探します：

* DEFAULT *、* INDEX *、* MAIN *、* README * + .HTML、.HTM、.ASP

（* NAME *は、ファイル名のサブストリングである可能性があることを意味します）

このようなファイルが見つかった場合、ワームはREADME.EMLという名前で電子メールフォームに自身をコピーし、犠牲者のHTM / ASPファイルにHTML / ASPファイルを開くだけのREADME.EMLファイルを開くJavaScriptプログラムを追加しますファイルが開かれており、その結果としてワームが起動します。

その結果、ワームはWebページに感染し、これらのWebサイトにアクセスするマシンに感染する可能性があります。

IIS攻撃として広がる

ワームは、そのファイルを被害者のマシンにアップロードするために、「tftp」コマンドを使用し、感染した（現在の）マシン上の一時的なTFTPサーバをアクティブにして、被害者（リモート）マシンから「get data」コマンドをまったく同じ{"BlueCode"：IISWorm_BlueCode} IISワームのように。

犠牲者のマシンにアップロードされるファイルの名前はADMIN.DLLです。

ペイロード

ペイロードルーチンは、管理者ユーザーグループに「ゲスト」ユーザーを追加します（結果として、「ゲスト」ユーザーは感染したマシンにフルアクセスします）。

ワームは共有するためにすべてのローカルドライブも開きます。

"Nimda"ワームにはいくつかの亜種があります。

それらはすべてオリジナルに非常に似ていますが、そのほとんどは元のワームの "パッチ適用"バージョンです – ワーム本体のテキスト文字列は他の文字列に置き換えられます）。

Nimda.b

これはオリジナルの "Nimda"ワームですが、PCShrink Win32 PE EXEファイル圧縮プログラムで圧縮されています。文字列：

README.EXE、README.EML

次のものに置き換えられます。

PUTA !!。SCR、PUTA !!。EML

Nimda.c

これはまさにオリジナルの "Nimda"ワームですが、UPX圧縮プログラムで圧縮されています。

Nimda.d

この亜種は、2001年10月末にインターネットに郵送されました。圧縮形式（PECompact圧縮形式）で配布され、この形式は27Kサイズです。

元のワームとの唯一の違いは、このバージョンで次のテキストでパッチされている "著作権"テキスト文字列です。

ホロカストウイルス！ Stephan Fernandez.SpainによるV.5.2

Nimda.e

これは再コンパイルされた "Nimda"変種であり、いくつかのマイナールーチンがわずかに固定されているか最適化されています。この変種は2001年10月の終わりに野生で見つかった。

オリジナルのワームバージョンとの目に見える違いは次のとおりです。

添付ファイル名：
SAMPLE.EXE（README.EXEの代わりに）

DLLファイルは次のとおりです。
HTTPODBC.DLLとCOOL.DLL（ADMIN.DLLではなく）

「著作権」テキストは次のものに置き換えられます。
コンセプトウイルス（CV）V.6、Copyright（C）2001、（This CV、No Nimda。）