Nimda - niebezpiecznie szybko się rozprzestrzenia
- Krzysztof Arkuszewski,
- 21.09.2001
Nimda jest robakiem internetowym, którego działanie polega na rozsyłaniu się pocztą elektroniczną oraz poprzez błędy w serwerze IIS.
Do infekcji tym robakiem wystarczy przeczytanie wiadomości w niezabezpieczonym programie Microsoft Outlook lub Outlook Express.
Zwykle robak pojawia się w komputerze ofiary w postaci listu elektronicznego o pustej treści, bardzo długim niezrozumiałym temacie oraz z plikiem załącznika o nazwie readme.exe. Korzystając z błędu w oprogramowaniu klientów pocztowych MS Outlook i Outlook Express, do aktywacji robak wymaga jedynie podglądu (przeczytania treści) wiadomości w tych programach. Infekcja następuje nawet bez uruchomienia przez użytkownika pliku załącznika.
Zobacz również:
Po aktywacji robak tworzy własne kopie w katalogu systemu Windows w pliku load.exe oraz nadpisuje plik riched20.dll. Pierwszy plik jest uruchamiany przy każdym starcie systemu Windows poprzez wpis w pliku system.ini. Wpis ten ma następującą składnię: shell=explorer.exe load.exe -dontrunold. Natomiast plik riched20.dll jest uruchamiany przy każdym uruchomieniu programu otwierającego plik typu RTF. Ponadto robak w systemach Windows NT/2000 dołącza własny wątek do aplikacji explorer.exe, a w systemach Windows 9x/Me rejestruje się jako usługa systemowa. Obie te akcje powodują, że działalność robaka jest niewidoczna dla użytkownika.
Następnie robak wysyła się do adresatów, których adresy poczty elektronicznej pobiera z listów znajdujących się w programie pocztowym. Dodatkowo adresy pobierane są również z plików z rozszerzeniami htm i html znajdujących się na dysku lokalnym. Tak uzyskane adresy są wstawiane zarówno w polu From: i To: zatem listy z robakiem w polu nadawcy nie zawierają pradziwego adresu nadawcy.
Alternatywna metoda infekcji to korzystanie z błędu w oprogramowaniu IIS zwanego Unicode Web Traversal, używanego również wcześniej przez robaka BlueCode. Możliwa jest też infekcja poprzez wejście na odpowiednio zmodyfikowaną przez robaka stronę na zainfekowanym serwerze. W tej sytuacji pobierany jest ze strony plik z rozszerzeniem eml zawierający kopię robaka.
Dodatkowo robak infekuje wszystkie pliki z rozszerzeniem exe oraz nadpisuje pliki z rozszerzeniami eml i nws własną kopią, w katalogach lokalnych, które są udostępnione.
Aby rozprzestrzeniać się poprzez sieć lokalną robak zmienia wartość następującego klucza w rejestrze HKLM\Software\Microsoft\Windows\ CurrentVersion\Network\LanMan\[C -> Z], czego efektem jest udostępnianie wszystkich dysków w sieci. Następnie robak przeszukuje sieć lokalną w poszukiwaniu udostępnionych katalogów, starając się infekować pliki z rozszerzeniami exe i nadpisując pliki z rozszerzeniami eml i nws.
Dostępne są łaty zarówno do błędu wykorzytywanego przy uruchamianiu pliku w programie pocztowym jak i do infekcji serwerów IIS, odpowiednio:
<b>Usuwanie robaka Nimda</b>
1. Odłączyć zainfekowany komputer od sieci komputerowej aby ograniczyć rozprzestrzenianie się robaka
2. Przeskanować wszystkie dyski zainfekowanego komputera oprogramowaniem mks_vir z datą bazy wirusów z 19 września 2001 lub nowszą. Usunąć wszystkie pliki, w których wykryty zostanie robak. Jeżeli niektórych plików nie da się usunąć, gdyż są zajęte przez system Widnows, należy je usunąć bądź za pomocą wersji mks_vir dla DOS lub ręcznie w trybie MS-DOS
3. Plik riched20.dll należy odtworzyć z płyty instalacyjnej systemu Windows
4. Usunąć opisane powyżej klucze rejestru powodujące udostępnianie całości dysków zainfekowanego komputera
5. Usunąć powyżej opisany wpis w pliku system.ini pozostawiając ciąg shell=explorer.exe
6. Zainstalować łatę do błędów w oprogramowaniu Microsoftu (odpowiednie linki powyżej)