Nimda - niebezpiecznie szybko się rozprzestrzenia

Nimda jest robakiem internetowym, którego działanie polega na rozsyłaniu się pocztą elektroniczną oraz poprzez błędy w serwerze IIS.

Do infekcji tym robakiem wystarczy przeczytanie wiadomości w niezabezpieczonym programie Microsoft Outlook lub Outlook Express.

Zwykle robak pojawia się w komputerze ofiary w postaci listu elektronicznego o pustej treści, bardzo długim niezrozumiałym temacie oraz z plikiem załącznika o nazwie readme.exe. Korzystając z błędu w oprogramowaniu klientów pocztowych MS Outlook i Outlook Express, do aktywacji robak wymaga jedynie podglądu (przeczytania treści) wiadomości w tych programach. Infekcja następuje nawet bez uruchomienia przez użytkownika pliku załącznika.

Zobacz również:

  • Powstał ciekawy sposób na blokowanie niechcianych wiadomości e-mail

Po aktywacji robak tworzy własne kopie w katalogu systemu Windows w pliku load.exe oraz nadpisuje plik riched20.dll. Pierwszy plik jest uruchamiany przy każdym starcie systemu Windows poprzez wpis w pliku system.ini. Wpis ten ma następującą składnię: shell=explorer.exe load.exe -dontrunold. Natomiast plik riched20.dll jest uruchamiany przy każdym uruchomieniu programu otwierającego plik typu RTF. Ponadto robak w systemach Windows NT/2000 dołącza własny wątek do aplikacji explorer.exe, a w systemach Windows 9x/Me rejestruje się jako usługa systemowa. Obie te akcje powodują, że działalność robaka jest niewidoczna dla użytkownika.

Następnie robak wysyła się do adresatów, których adresy poczty elektronicznej pobiera z listów znajdujących się w programie pocztowym. Dodatkowo adresy pobierane są również z plików z rozszerzeniami htm i html znajdujących się na dysku lokalnym. Tak uzyskane adresy są wstawiane zarówno w polu From: i To: zatem listy z robakiem w polu nadawcy nie zawierają pradziwego adresu nadawcy.

Alternatywna metoda infekcji to korzystanie z błędu w oprogramowaniu IIS zwanego Unicode Web Traversal, używanego również wcześniej przez robaka BlueCode. Możliwa jest też infekcja poprzez wejście na odpowiednio zmodyfikowaną przez robaka stronę na zainfekowanym serwerze. W tej sytuacji pobierany jest ze strony plik z rozszerzeniem eml zawierający kopię robaka.

Dodatkowo robak infekuje wszystkie pliki z rozszerzeniem exe oraz nadpisuje pliki z rozszerzeniami eml i nws własną kopią, w katalogach lokalnych, które są udostępnione.

Aby rozprzestrzeniać się poprzez sieć lokalną robak zmienia wartość następującego klucza w rejestrze HKLM\Software\Microsoft\Windows\ CurrentVersion\Network\LanMan\[C -> Z], czego efektem jest udostępnianie wszystkich dysków w sieci. Następnie robak przeszukuje sieć lokalną w poszukiwaniu udostępnionych katalogów, starając się infekować pliki z rozszerzeniami exe i nadpisując pliki z rozszerzeniami eml i nws.

Dostępne są łaty zarówno do błędu wykorzytywanego przy uruchamianiu pliku w programie pocztowym jak i do infekcji serwerów IIS, odpowiednio:

MS01-020.asp

ms00-078.asp

<b>Usuwanie robaka Nimda</b>

1. Odłączyć zainfekowany komputer od sieci komputerowej aby ograniczyć rozprzestrzenianie się robaka

2. Przeskanować wszystkie dyski zainfekowanego komputera oprogramowaniem mks_vir z datą bazy wirusów z 19 września 2001 lub nowszą. Usunąć wszystkie pliki, w których wykryty zostanie robak. Jeżeli niektórych plików nie da się usunąć, gdyż są zajęte przez system Widnows, należy je usunąć bądź za pomocą wersji mks_vir dla DOS lub ręcznie w trybie MS-DOS

3. Plik riched20.dll należy odtworzyć z płyty instalacyjnej systemu Windows

4. Usunąć opisane powyżej klucze rejestru powodujące udostępnianie całości dysków zainfekowanego komputera

5. Usunąć powyżej opisany wpis w pliku system.ini pozostawiając ciąg shell=explorer.exe

6. Zainstalować łatę do błędów w oprogramowaniu Microsoftu (odpowiednie linki powyżej)

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200