Kaspersky Threats

Класс

Платформа

Описание

Technical Details

«Nimda» является Интернет-червем, распространяющимся по сети Интернет в виде
вложенных файлов в сообщениях электронной почты, по ресурсам локальных сетей,
а также проникающий на незащищенные IIS-серверы. Оригинальный файл-носитель
червя имеет имя README.EXE и представляет собой программу формата Windows PE
EXE, размером около 57 килобайт и написанную на языке программирования
Microsoft C++.

Для активизации из писем электронной почты «Nimda» использует брешь в системе
безопасности Internet Explorer, так что владелец незащищенного компьютера
даже не заметит факта заражения. После этого червь инициирует процедуры
внедрения в систему, распространения и запускает деструктивные функции.

В теле червя содержится строка:

Concept Virus(CV) V.5, Copyright(C)2001 R.P.China

Внедрение в систему

В процессе внедрения червь «разбрасывает» свои копии в следующих местах:

Директория Windows под именем MMC.EXE
Системная директория Windows под именем RICHED20.DLL (одновременно уничтожая оригинальный файл RICHED20.DLL, входящий в поставку Windows)
Системная директория Windows под именем LOAD.EXE

Последний файл регистрируется в секции автозапуска конфигурационного файла SYSTEM.INI следующим образом:

[boot]
shell=explorer.exe load.exe -dontrunold

Червь также копирует себя во временную директорию Windows со случайными
именами MEP*.TMP и MA*.TMP.EXE. Например:

mep01A2.TMP
mep1A0.TMP.exe
mepE002.TMP.exe
mepE003.TMP.exe
mepE004.TMP

Файлы формата EXE этого типа, а также файл LOAD.EXE (см. выше) имеют
атрубуты «скрытый» и «системный».

После этого «Nimda» запускает процедуру распространения. В зависимости от
версии Windows червь использует для этого процесс EXPLORER.EXE и, таким
образом, может маскировать свои действия под фоновым процессом EXPLORER.

Распространение по электронной почте

Для отправки с зараженных компьютеров писем электронной почты «Nimda»
создает SMTP-соединение и с его помощью пересылает свои копии на другие
адреса электронной почты.

Для получения целевых адресов электронной почты червь использует следующие
уловки:

сканирует все файлы с расширением .HTM и .HTML и выбирает из них
найденные адреса
при помощи MAPI-функций получает доступ к почтовым ящикам MS Exchange и
также считывает из них адреса.

Рассылаемые «Nimda» письма имеют формат HTML и выглядят следующим образом:

Тема письма: пустая или случайная
Тело письма: пустое
Вложенный файл: README.EXE

Тема письма выбирается случайным образом в соответствии с названием
случайного файла из папки «Мои Документы» или любого другого файла
на диске C:

Путь к папке «Мои Документы» червь берет из ключа системного реестра Windows:

HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerShell FoldersPersonal

Для внедрения в систему из зараженных писем электронной почты «Nimda» использует
брешь в системе безопасности Internet Explorer которая позволяет автоматически
выполнить вложенный исполняемый файл. Данная брешь была обнаружена в конце
марта 2001 г. и описана в бюллетене Microsoft
(http://www.microsoft.com/technet/security/bulletin/MS01-020.asp)

«Заплатка». устраняющая данную брешь доступна для загрузки по адресу:
http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp

Распространение по локальной сети

Для распространения по локальной сети червь сканирует локальные и установленные
сетевые диски и заражает их следующими способами:

1) Создает файлы со случайными именами и расширениями .EML (в 95% случаев) или
.NWS (в 5% случаев) и «разбрасывает» их на найденных дисках. Эти расширения
являются стандартными для писем электронной почты. В результате, компьютеры
(как зараженный, так и подключенные к локальной сети) могут содержать
тысячи подобных файлов, в которых содержится копия червя.

Эти файлы являются электронными письмами в формате HTML, содержащими копию «Nimda»
в виде вложенного объекта. При запуске таких файлов срабатывает описанная выше
брешь в защите Intrenet Explorer и на компьютер немедленно внедряется копия червя.

2) Червь ищет файлы, в именах и расширениях которых присутствуют следующие
комбинации:

Имена: *DEFAULT* , *INDEX* , *MAIN* , *README*
Расширения: .HTML, .HTM, .ASP

Если такой файл найден, червь создает в одной папке с ним файл README.EML
(аналогичный создаваемым в п.1). Затем он модифицирует найденный файл,
добавляя в него короткую JavaScript-программу. При просмотре модифицированной
страницы JavaScript-программа загружает README.EML, что приводит к заражению
червем.

В результате червь заражает существующие Web-сайты и может проникать на
компьютеры посетителей сайтов.

Внедрение на IIS-серверы

Атака IIS-серверов происходит способом, примененном в IIS-черве «BlueCode».
Для внедрения на удаленные IIS-серверы червь использует команду «tftp»,
активизирует временный TFTP-сервер на зараженном компьютере и с его помощью
загружает на целевую машину свою копию (ADMIN.DLL). Далее, специальным
запросом эта копия активизируется.

Деструктивные функции

«Nimda» имеет опасный побочный эффект, который может допустить утечку
конфиденциальной информации с зараженных компьютеров. Червь добавляет
пользователя под именем «Guest» в группу пользователей «Администраторы».
Таким образом, «Guest» имеет полный доступ к ресурсам компьютера.

Помимо этого «Nimda» незаметно открывает все локальные диски для полного
доступа всех желающих.

Известно несколько модификаций червя «Nimda».

Практически все из них полностью повторяют первоначальную версия червя и отличаются только «перебитыми» тектовыми строками.

Nimda.b

Является первоначальной версией червя, упакованной компрессором PCShrink (упаковщик выполняемых файлов Win32). В коде червя строки:

README.EXE , README.EML

заменены на:

PUTA!!.SCR , PUTA!!.EML

Nimda.c

Является первоначальной версией червя, упакованной компрессором UPX. Более никаких отличий нет.

Nimda.d

Был разослан по сетям Интернет в конце октября 2001. Распространялся в упакованном виде (компрессор PECompact), размер файла — около 27K.

Основное отличие от первоначальной версии червя — измененная
строка-«копирайт», которая в этом варианте червя выглядит следующим образом:

HoloCaust Virus.! V.5.2 by Stephan Fernandez.Spain

Nimda.e

Перекомпилированный вариант червя. Есть незначительные изменения в коде (некоторые процедуры слегка подправлены или соптимизированы). Был обнаружен в «живом виде» в конце октября 2001.

«Видимыми» отличиями от первоначальной версии червя являются следующие изменения:

Имя файла-вложения:
SAMPLE.EXE(вместо README.EXE)

Имя DLL-библиотек:
HTTPODBC.DLL или COOL.DLL (вместо ADMIN.DLL)

Строка-«копирайт» в этой версии выглядит так:

Узнай статистику распространения угроз в твоем регионе

Класс	Net-Worm
Платформа	Win32
Описание	Technical Details «Nimda» является Интернет-червем, распространяющимся по сети Интернет в виде вложенных файлов в сообщениях электронной почты, по ресурсам локальных сетей, а также проникающий на незащищенные IIS-серверы. Оригинальный файл-носитель червя имеет имя README.EXE и представляет собой программу формата Windows PE EXE, размером около 57 килобайт и написанную на языке программирования Microsoft C++. Для активизации из писем электронной почты «Nimda» использует брешь в системе безопасности Internet Explorer, так что владелец незащищенного компьютера даже не заметит факта заражения. После этого червь инициирует процедуры внедрения в систему, распространения и запускает деструктивные функции. В теле червя содержится строка: Concept Virus(CV) V.5, Copyright(C)2001 R.P.China Внедрение в систему В процессе внедрения червь «разбрасывает» свои копии в следующих местах: Директория Windows под именем MMC.EXE Системная директория Windows под именем RICHED20.DLL (одновременно уничтожая оригинальный файл RICHED20.DLL, входящий в поставку Windows) Системная директория Windows под именем LOAD.EXE Последний файл регистрируется в секции автозапуска конфигурационного файла SYSTEM.INI следующим образом: [boot] shell=explorer.exe load.exe -dontrunold Червь также копирует себя во временную директорию Windows со случайными именами MEP.TMP и MA.TMP.EXE. Например: mep01A2.TMP mep1A0.TMP.exe mepE002.TMP.exe mepE003.TMP.exe mepE004.TMP Файлы формата EXE этого типа, а также файл LOAD.EXE (см. выше) имеют атрубуты «скрытый» и «системный». После этого «Nimda» запускает процедуру распространения. В зависимости от версии Windows червь использует для этого процесс EXPLORER.EXE и, таким образом, может маскировать свои действия под фоновым процессом EXPLORER. Распространение по электронной почте Для отправки с зараженных компьютеров писем электронной почты «Nimda» создает SMTP-соединение и с его помощью пересылает свои копии на другие адреса электронной почты. Для получения целевых адресов электронной почты червь использует следующие уловки: сканирует все файлы с расширением .HTM и .HTML и выбирает из них найденные адреса при помощи MAPI-функций получает доступ к почтовым ящикам MS Exchange и также считывает из них адреса. Рассылаемые «Nimda» письма имеют формат HTML и выглядят следующим образом: Тема письма: пустая или случайная Тело письма: пустое Вложенный файл: README.EXE Тема письма выбирается случайным образом в соответствии с названием случайного файла из папки «Мои Документы» или любого другого файла на диске C: Путь к папке «Мои Документы» червь берет из ключа системного реестра Windows: HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerShell FoldersPersonal Для внедрения в систему из зараженных писем электронной почты «Nimda» использует брешь в системе безопасности Internet Explorer которая позволяет автоматически выполнить вложенный исполняемый файл. Данная брешь была обнаружена в конце марта 2001 г. и описана в бюллетене Microsoft (http://www.microsoft.com/technet/security/bulletin/MS01-020.asp) «Заплатка». устраняющая данную брешь доступна для загрузки по адресу: http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp Распространение по локальной сети Для распространения по локальной сети червь сканирует локальные и установленные сетевые диски и заражает их следующими способами: 1) Создает файлы со случайными именами и расширениями .EML (в 95% случаев) или .NWS (в 5% случаев) и «разбрасывает» их на найденных дисках. Эти расширения являются стандартными для писем электронной почты. В результате, компьютеры (как зараженный, так и подключенные к локальной сети) могут содержать тысячи подобных файлов, в которых содержится копия червя. Эти файлы являются электронными письмами в формате HTML, содержащими копию «Nimda» в виде вложенного объекта. При запуске таких файлов срабатывает описанная выше брешь в защите Intrenet Explorer и на компьютер немедленно внедряется копия червя. 2) Червь ищет файлы, в именах и расширениях которых присутствуют следующие комбинации: Имена: DEFAULT , INDEX , MAIN , README Расширения: .HTML, .HTM, .ASP Если такой файл найден, червь создает в одной папке с ним файл README.EML (аналогичный создаваемым в п.1). Затем он модифицирует найденный файл, добавляя в него короткую JavaScript-программу. При просмотре модифицированной страницы JavaScript-программа загружает README.EML, что приводит к заражению червем. В результате червь заражает существующие Web-сайты и может проникать на компьютеры посетителей сайтов. Внедрение на IIS-серверы Атака IIS-серверов происходит способом, примененном в IIS-черве «BlueCode». Для внедрения на удаленные IIS-серверы червь использует команду «tftp», активизирует временный TFTP-сервер на зараженном компьютере и с его помощью загружает на целевую машину свою копию (ADMIN.DLL). Далее, специальным запросом эта копия активизируется. Деструктивные функции «Nimda» имеет опасный побочный эффект, который может допустить утечку конфиденциальной информации с зараженных компьютеров. Червь добавляет пользователя под именем «Guest» в группу пользователей «Администраторы». Таким образом, «Guest» имеет полный доступ к ресурсам компьютера. Помимо этого «Nimda» незаметно открывает все локальные диски для полного доступа всех желающих. Известно несколько модификаций червя «Nimda». Практически все из них полностью повторяют первоначальную версия червя и отличаются только «перебитыми» тектовыми строками. Nimda.b Является первоначальной версией червя, упакованной компрессором PCShrink (упаковщик выполняемых файлов Win32). В коде червя строки: README.EXE , README.EML заменены на: PUTA!!.SCR , PUTA!!.EML Nimda.c Является первоначальной версией червя, упакованной компрессором UPX. Более никаких отличий нет. Nimda.d Был разослан по сетям Интернет в конце октября 2001. Распространялся в упакованном виде (компрессор PECompact), размер файла — около 27K. Основное отличие от первоначальной версии червя — измененная строка-«копирайт», которая в этом варианте червя выглядит следующим образом: HoloCaust Virus.! V.5.2 by Stephan Fernandez.Spain Nimda.e Перекомпилированный вариант червя. Есть незначительные изменения в коде (некоторые процедуры слегка подправлены или соптимизированы). Был обнаружен в «живом виде» в конце октября 2001. «Видимыми» отличиями от первоначальной версии червя являются следующие изменения: Имя файла-вложения: SAMPLE.EXE(вместо README.EXE) Имя DLL-библиотек: HTTPODBC.DLL или COOL.DLL (вместо ADMIN.DLL) Строка-«копирайт» в этой версии выглядит так: Concept Virus(CV) V.6, Copyright(C)2001, (This’s CV, No Nimda.)
	Узнай статистику распространения угроз в твоем регионе

Net-Worm.Win32.Nimda

Technical Details

Nimda.b

Nimda.c

Nimda.d

Nimda.e