Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

I-Worm.Nimda - epidemia?

Jest to robak rozprzestrzeniający się poprzez Internet w postaci pliku załączonego do wiadomości e-mail. Wirus kopiuje się do współdzielonych katalogów w całej sieci lokalnej, jak również atakuje serwery IIS (Internet Information Server). Szkodnik ma postać pliku PE EXE o rozmiarze 57 KB i napisany został w języku programowania C++.

Instalacja

Podczas instalacji w systemie robak kopiuje się do:

  • katalogu Windows z nazwą MMC.EXE,
  • katalogu systemowego Windows z nazwami RICHED20.DLL (robak nadpisuje oryginalny plik RICHED20.DLL file) oraz LOAD.EXE.

Ostatni plik umieszczany jest w sekcji auto-run pliku SYSTEM.IMI:

[boot]
shell=explorer.exe load.exe -dontrunold

Ponadto robak kopiuje się do tymczasowego katalogu Windows z losowymi nazwami: MEP*.TMP oraz MA*.TMP.EXE. Przykładowo:

mep01A2.TMP
mep1A0.TMP.exe
mepE002.TMP.exe
mepE003.TMP.exe
mepE004.TMP

Pliki EXE posiadają atrybuty Ukryty oraz Systemowy, podobnie jak plik LOAD.EXE (patrz powyżej).

Następnie robak uruchamia swoje procedury rozprzestrzeniające oraz dodatkowe. W zależności od wersji systemu Windows szkodnik atakuje proces EXPLORER.EXE i może uruchamiać swoje procedury jako ukryte wątki EXPLORER'a.

Rozprzestrzenianie

Aby wysyłać zainfekowane wiadomości robak łączy się z hostem przy użyciu protokołu SMTP. Adresy ofiar pobierane są przez robaka na dwa sposoby:

  1. poprzez skanowanie plików HTM oraz HTML w poszukiwaniu ciągów przypominających adresy e-mail,
  2. ze skrzynek pocztowych klienta MS Exchange.

Zainfekowane wiadomości posiadają format HTML i wyglądają następująco:

Temat: pusty lub losowy
Treść wiadomości: pusta
Załączony plik: README.EXE

Temat wiadomości może być pobrany przez robaka z nazwy losowo wybranego pliku zapisanego w folderze:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
Shell Folders\Personal

Najczęściej jest to folder "Moje dokumenty" lub losowo wybrany katalog z dysku C:.

W celu rozprzestrzenienia się z zainfekowanej wiadomości robak wykorzystuje trik nazwany "IFRAME". Jest to luka w zabezpieczeniach opisana w publikacji:

Microsoft Security Bulletin (MS01-020): Incorrect MIME Header Can Cause IE to Execute E-mail Attachment
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

Łatę usuwającą dziurę w zabezpieczeniach można pobrać pod adresem:

http://www.microsoft.com/windows/ie/downloads/critical/
q290108/default.asp

Jeżeli powyższa łata nie jest zainstalowana i wiadomość HTML zawiera uruchamialny załącznik, którego typ MIME jest błędny lub niestandardowy, załącznik zostanie uruchomiony bez wyświetlenia ostrzeżenia o niebezpiecznym pliku.

Łata eliminuje tę lukę poprawiając tabelę typów MIME oraz ich powiązania z programem Internet Explorer. W rezultacie nie będzie możliwe automatyczne uruchomienie załącznika wiadomości e-mail.

Rozprzestrzenianie - infekowanie plików EXE

Robak skanuje klucz rejestru:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
App Paths

w poszukiwaniu plików EXE zapisanych na współdzielonych dyskach sieciowych i infekuje je (z wyjątkiem pliku Winzip32.exe). W niektórych przypadkach procedura ta nie jest uruchamiana i pliki EXE pozostają nietknięte.

Podczas infekowania robak zastępuje ciało pliku własną kopią i umieszcza oryginalną zawartość ofiary we własnych zasobach (zasoby PE EXE). W rezultacie zainfekowany plik EXE ma poniższą budowę:

  • nagłówek;
  • sekcja zawierająca kod;
  • sekcja zawierająca dane;
  • sekcja zawierająca zasoby;
  • dodatkowe zasoby robaka;
  • oryginalna zawartość ofiary (w nienaruszonej postaci);
  • dodatkowe zasoby robaka;
  • tabela relokacji.

Rozprzestrzenianie w sieci lokalnej

Robak skanuje lokalne i współdzielone (zmapowane) dyski i infekuje wszystkie dostępne katalogi na dwa sposoby:

  1. tworzy pliki EML (z 95% prawdopodobieństwem) lub NWS (z 5% prawdopodobieństwem) z losowymi nazwami. W rezultacie pliki te (kopie robaka) znajdują się praktycznie we wszystkich udostępnionych katalogach,
  2. szuka kombinacji nazw plików oraz rozszerzeń: *DEFAULT* , *INDEX* , *MAIN* , *README* + .HTML, .HTM, .ASP. Jeśli kombinacja taka zostanie odnaleziona robak kopiuje się do pliku o nazwie README.EML i dodaje do "ofiary" skrypt, który otwiera i uruchamia kopię robaka.

Rozprzestrzenianie - atak IIS

Aby przenieść swój plik na atakowaną maszynę robak używa komendy "tftp", aktywuje tymczasowy serwer TFTP na zainfekowanym komputerze i pobiera swój plik dokładnie tak samo jak robi to robak "BlueCode". Nazwa pliku zapisywanego na atakowanej maszynie to ADMIN.DLL.

Procedury dodatkowe

Robak dodaje użytkownika "Guest" do grupy administratorów. W rezultacie "gość" uzyskuje pełne prawa administratora. Dodatkowo robak udostępnia w sieci wszystkie lokalne dyski.

Zainfekowane przez robaka klucze rejestru wyglądają następująco:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
Network\LanMan\
Flags =
Parm1enc =
Parm2enc =

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
Network\LanMan\X$
Flags =
Parm1enc =
Parm2enc =
Path =
Remark =
Type =

gdzie pola "X$" przyjmują wartości "C$", "D$" itd.

HKCU\Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced
Hidden
ShowSuperHidden
HideFileExt

Poniższy klucz jest usuwany:

HKLM\SYSTEM\CurrentControlSet\Services\
lanmanserver\Shares\Security

Efekty uboczne

Wiadomości e-mail w formacie HTML, do których automatycznie dołączany jest podpis również są infekowane skryptem robaka. W rezultacie wszystkie wiadomości wysyłane z zainfekowanej maszyny będą zawierały ten skrypt załączony do końcowej części podpisu.

Ponadto robak atakuje kilka typów standardowych plików HTML, zatem może się on dostać do komputera w momencie przeglądania zainfekowanej strony.

W kodzie szkodnika zapisana jest sygnatura autora:

Concept Virus(CV) V.5, Copyright(C)2001 R.P.China

Leczenie

Robak zmniejsza bezpieczeństwo systemu udostępniając w sieci wszystkie lokalne dyski. Odszukaj te dyski i przywróć pierwotny stan ich udostępnienia. Następnie wykonaj poniższe kroki:

  • Kliknij na przycisku otwierającym menu Start systemu Windows, wybierz polecenie Uruchom, wpisz komendę "system.ini" i wciśnij klawisz ENTER.
  • Odszukaj linię "Shell =" i zmień jej zawartość z:
    Shell = explorer.exe load.exe -dontrunold
    na:
    "Shell = explorer.exe
  • Zapisz i zamknij plik SYSTEM.INI.
  • Otwórz menu Start, wybierz kategorię Ustawienia, a następnie Panel sterowania i uruchom opcję Opcje folderów.
  • Na zakładce "Widok" usuń zaznaczenie z opcji "Ukryj chronione pliki systemu operacyjnego", "Ukryj rozszerzenia plików znanych typów" i zaznacz opcję "Pokaż ukryte pliki i foldery".
  • Uruchom menu Start, wybierz opcję Uruchom i wpisz komendę "wininit.ini".
  • Usuń całą zawartość pliku WININIT.INI po czym zapisz zmiany i zamknij plik.
  • Przetestuj system przy użyciu KAV Skanera (AVP Skanera) uzbrojonego w najświeższe uaktualnienie antywirusowych baz danych. Niektóre z zainfekowanych plików mogą być uszkodzone - usuń je.


 2001-09-19  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych