Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

Pojawiły się nowe wersje robaka Nimda.

Odkryto już 5 nowych modyfikacji robaka Nimda.
Od czasu odkrycia robaka "Nimda", 18 września 2001, firma Kaspersky Lab wykryła 5 nowych modyfikacji tego robaka sieciowego. Niektóre z nich zostały wykryte "na wolności" lecz na szczęście żadne nie spowodowały epidemii na miarę tej rozpętanej przez pierwotną wersję robaka. Firma Kaspersky Lab zaleca użytkownikom dokładne przeczytanie poniższych opisów nowych wersji robaka "Nimda" oraz pobranie najnowszych uaktualnień antywirusowych baz danych programu Kaspersky™ Anti-Virus.

Nimda.a

Oryginalny robak odkryty został 18 września 2001 r. "Nimda" wnika do systemu na kilka różnych sposobów: Przede wszystkim poprzez pocztę elektroniczną: zainfekowana przesyłka w formacie HTML, zawierająca kilka osadzonych obiektów, przedostaje się do docelowego komputera. Podczas przeglądania tej przesyłki, jeden z nich, (plik README.EXE, ok. 57 KB) jest automatycznie uruchamiany bez wiedzy użytkownika. By tego dokonać robak wykorzystuje lukę w zabezpieczeniach programu Internet Explorer wykrytą w marcu tego roku.

Drugim sposobem na wtargnięcie "Nimdy" do systemu jest wykorzystanie wspomnianej wcześniej luki w zabezpieczeniach, podczas przeglądania zainfekowanych stron WWW. Jeżeli na takiej stronie znajduje się szkodliwy program Java, pobiera on i uruchamia "Nimdę" na odległym komputerze klienta.

Trzecim źródłem ataku "Nimdy" jest sieć lokalna. Robak skanuje wszystkie dostępne zasoby sieciowe i zostawia na nich tysiące swoich kopii. Celem tych działań jest nadzieja twórcy robaka, że użytkownik po znalezieniu takiego pliku sam zainfekuje swój komputer. Poza infekowaniem stacji roboczych "Nimda" posiada jeszcze jedną funkcję: atakuje serwery Microsoft Internet Information Server (IIS). Wykorzystuje w tym celu lukę w zabezpieczeniach IIS zwaną "Web Server Folder Traversal" (została ona opisana w biuletynie informacyjnym firmy Microsoft)

Nimda.b

Nieco zmodyfikowana wersja oryginalnego robaka, spakowana narzędziem PCShrink. Nazwy plików "README.EXE" oraz "README.EML" zostały zastąpione nazwami "PUTA!!.SCR" oraz "PUTA!!.EML".

Nimda.c

Jest to dokładna kopia oryginalnego robaka "Nimda" lecz spakowana jest narzędziem UPX.

Nimda.d

Nieco zmodyfikowana wersja oryginalnego robaka, spakowana narzędziem PECompact. Jedyna różnica w stosunku do oryginalnego robaka, to tekst o prawach autorskich. Oryginalny tekst zastąpiono łańcuchem znaków: "HoloCaust Virus.! V.5.2 by Stephan Fernandez.Spain"

Nimda.e

Ta przekompilowana wersja "Nimdy" posiada kilka poprawionych i zoptymalizowanych procedur. Ten wariant został znaleziony "na wolności" pod koniec października 2001r. Główne różnice w stosunku do oryginalnego robaka to:

Załączony plik ma nazwę : SAMPLE.EXE (zamiast README.EXE)
Pliki DLL : HTTPODBC.DLL i COOL.DLL (zamiast ADMIN.DLL)

Oryginalny tekst o "prawach autorskich" zastąpiono łańcuchem znaków:
Concept Virus(CV) V.6, Copyright(C)2001, (This's CV, No Nimda.)

Procedury wykrywania i usuwania wszystkich znanych modyfikacji robaka "Nimda" zostały dodane do antywirusowych baz danych programu Kaspersky™ Anti-Virus.


Dostępna jest kolejna, czwarta wersja narzędzia AntiNimd.exe. Działa ono we wszystkich systemach operacyjnych Windows (9x/ME/NT/2000) i wykonuje następujące czynności:

  1. zatrzymuje wszystkie wymienione poniżej procesy robaka:

    • MMC.EXE
    • LOAD.EXE
    • ADMIN.DLL
    • COOL.DLL
    • HTTPODBC.DLL
    • RICHED20.DLL

  2. uruchamia ponownie proces explorer.exe;

  3. testuje wszystkie logiczne dyski twarde i leczy lub usuwa zainfekowane pliki;

  4. przywraca poprawną postać wpisu SHELL=Explorer.exe w pliku SYSTEM.INI;

  5. usuwa wszystkie pliki tymczasowe;

  6. usuwa udział sieciowy c$ w systemach Windows 9x\ME,
    w systemach Windows NT\2000 usuwa konto gościa z grupy Administratorzy
  7. tworzy nowy plik RichEd20.dll (plik pochodzi z systemu Windows 2000 jednak będzie działał w innych systemach operacyjnych bez problemu) w katalogu SYSTEM lub SYSTEM32.

Uwaga! Przed uruchomieniem programu należy odłączyć komputer od sieci lokalnej.

Narzędzie można pobrać z naszego serwera:

  • AntiNimd.exe (480 KB)


  •  2001-10-30  

    © 1997 - 2016 Kaspersky Lab

    Wszelkie prawa zastrzeżone.
    Lider na rynku rozwišązań antywirusowych