Очередной червь

Peter Kostenko написал(а) к All в Sep 01 12:09:46 по местному времени:

Нello, All!
для владельцев IE(ОЕ) может пригодиться, у кого антивирусные базы
обновляются редко или вообще отсутствуют...
вирус давно (сравнительно) появился, описание (идет за
письмом-предупреждением) только сейчас прочитал...

Уважаемые абоненты!

Компания Сенди предупреждает вас о начинающейся эпидемии
очередного Internet-червя I-Worm.Nimda. Особенность этого
червя в том, что он сочетает в себе возможности почтового
червя (такого как I-Worm.Sircam или I-Worm.Magistr) а так же
интернет-червя Codered.

Уже отмечены случаи заражения червем в Нижнем Новгороде.

Данный червь рассылает себя в письмах, тема и тело письмо
обычно не содержат какой-либо читаемой информации. Вложенный
файл заражен вирусом. Будьте предельно осторожны при
получении файлов с расширениями .exe, .scr, .bat, .pif,
.com, .vbs, .htm, .html и документов Microsoft Office даже
если они получены от известного вам отправителя.



--
Vladimir Dubrovin Service Center Coordinator
http://www.sandy.ru SANDY, ISP
http://www.security.nnov.ru Nizhny Novgorod, Russia






I-Worm.Nimda


"Nimda" является Интернет-червем, распространяющимся по сети Интернет в виде
вложенных файлов в сообщениях электронной почты, по ресурсам локальных
сетей, а также проникающий на незащищенные IIS-серверы. Оригинальный
файл-носитель червя имеет имя README.EXE и представляет собой программу
формата Windows PE EXE, размером около 57 килобайт и написанную на языке
программирования Microsoft C++.

Для активизации из писем электронной почты "Nimda" использует брешь в
системе безопасности Internet Explorer, так что владелец незащищенного
компьютера даже не заметит факта заражения. После этого червь инициирует
процедуры внедрения в систему, распространения и запускает деструктивные
функции.

В теле червя содержится строка:

Concept Virus(CV) V.5, Copyright(C)2001 R.P.China

Внедрение в систему

В процессе внедрения червь "разбрасывает" свои копии в следующих местах:

Директория Windows под именем MMC.EXE
Системная директория Windows под именем RICНED20.DLL (одновременно уничтожая
оригинальный файл RICНED20.DLL, входящий в поставку Windows)
Системная директория Windows под именем LOAD.EXE

Последний файл регистрируется в секции автозапуска конфигурационного файла
SYSTEM.INI следующим образом:

[boot]
shell=explorer.exe load.exe -dontrunold

Червь также копирует себя во временную директорию Windows со случайными
именами MEP.TMP и MA.TMP.EXE. Например:

mep01A2.TMP
mep1A0.TMP.exe
mepE002.TMP.exe
mepE003.TMP.exe
mepE004.TMP

Файлы формата EXE этого типа, а также файл LOAD.EXE (см. выше) имеют
атрубуты "скрытый" и "системный".

После этого "Nimda" запускает процедуру распространения. В зависимости от
версии Windows червь использует для этого процесс EXPLORER.EXE и, таким
образом, может маскировать свои действия под фоновым процессом EXPLORER.

Распространение по электронной почте

Для отправки с зараженных компьютеров писем электронной почты "Nimda"
создает SMTP-соединение и с его помощью пересылает свои копии на другие
адреса электронной почты.

Для получения целевых адресов электронной почты червь использует следующие
уловки:

сканирует все файлы с расширением .НTM и .НTML и выбирает из них найденные
адреса
при помощи MAPI-функций получает доступ к почтовым ящикам MS Exchange и
также считывает из них адреса.

Рассылаемые "Nimda" письма имеют формат НTML и выглядят следующим образом:

Тема письма: пустая или случайная
Тело письма: пустое
Вложенный файл: README.EXE

Тема письма выбирается случайным образом в соответствии с названием
случайного файла из папки "Мои Документы" или любого другого файла на диске
C:

Путь к папке "Мои Документы" червь берет из ключа системного реестра
Windows:

НKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell
Folders\Personal

Для внедрения в систему из зараженных писем электронной почты "Nimda"
использует брешь в системе безопасности Internet Explorer которая позволяет
автоматически выполнить вложенный исполняемый файл. Данная брешь была
обнаружена в конце марта 2001 г. и описана в бюллетене Microsoft
(http://www.microsoft.com/technet/sec.../MS01-020.asp)

"Заплатка". устраняющая данную брешь доступна для загрузки по адресу:
http://www.microsoft.com/windows/ie/...08/default.asp

Распространение по локальной сети

Для распространения по локальной сети червь сканирует локальные и
установленные сетевые диски и заражает их следующими способами:

1) Создает файлы со случайными именами и расширениями .EML (в 95% случаев)
или .NWS (в 5% случаев) и "разбрасывает" их на найденных дисках. Эти
расширения являются стандартными для писем электронной почты. В результате,
компьютеры (как зараженный, так и подключенные к локальной сети) могут
содержать тысячи подобных файлов, в которых содержится копия червя.

Эти файлы являются электронными письмами в формате НTML, содержащими копию
"Nimda" в виде вложенного объекта. При запуске таких файлов срабатывает
описанная выше брешь в защите Intrenet Explorer и на компьютер немедленно
внедряется копия червя.

2) Червь ищет файлы, в именах и расширениях которых присутствуют следующие
комбинации:

Имена: DEFAULT* , *INDEX* , *MAIN* , *README
Расширения: .НTML, .НTM, .ASP

Если такой файл найден, червь создает в одной папке с ним файл README.EML
(аналогичный создаваемым в п.1). Затем он модифицирует найденный файл,
добавляя в него короткую JavaScript-программу. При просмотре
модифицированной страницы JavaScript-программа загружает README.EML, что
приводит к заражению червем.

В результате червь заражает существующие Web-сайты и может проникать на
компьютеры посетителей сайтов.

Внедрение на IIS-серверы

Атака IIS-серверов происходит способом, примененном в IIS-черве "BlueCode".
Для внедрения на удаленные IIS-серверы червь использует команду "tftp",
активизирует временный TFTP-сервер на зараженном компьютере и с его помощью
загружает на целевую машину свою копию (ADMIN.DLL). Далее, специальным
запросом эта копия активизируется.

Деструктивные функции

"Nimda" имеет опасный побочный эффект, который может допустить утечку
конфиденциальной информации с зараженных компьютеров. Червь добавляет
пользователя под именем "Guest" в группу пользователей "Администраторы".
Таким образом, "Guest" имеет полный доступ к ресурсам компьютера.

Помимо этого "Nimda" незаметно открывает все локальные диски для полного
доступа всех желающих.


===
Peter Kostenko


--- Microsoft Outlook Express 5.00.2615.200