"Wielotorowy" robak Nimda

Pojawił się nowy typ szybko rozprzestrzeniającego się robaka komputerowego o nazwie Nimda (PE_NIMDA.A, NIMDA.A lub W32/[email protected]), charakteryzującego się dość złożoną naturą i stanowiącego duże zagrożenie dla systemów komputerowych podłączonych do Internetu.

Pojawił się nowy typ szybko rozprzestrzeniającego się robaka komputerowego o nazwie Nimda (PE_NIMDA.A, NIMDA.A lub W32/[email protected]), charakteryzującego się dość złożoną naturą i stanowiącego duże zagrożenie dla systemów komputerowych podłączonych do Internetu.

Nimda (nazwa jest odwróceniem wyrazu "admin") jest złożonym robakiem komputerowym, ciągle jeszcze badanym przez zespoły ekspertów antywirusowych, który jest narzędziem do wykonywania ataków DDoS (Distributed Denial of Service).Rozprzestrzenia się on co najmniej na trzy sposoby: pocztą elektroniczną, przez mechanizm udostępniania plików w sieci lub przez strony webowe IIS, i do końca nie jest wiadomo, jak działa.

Zobacz również:

  • Luka w Zoomie wykorzystywana do rozsiewania wirusów

Nimda jest dostarczany w plikach wykonywalnych readme.EXE, dołączanych do przesyłek poczty elektronicznej. Niektóre jego warianty mogą jednak przybierać formę innych plików - załącznik może mieć rozszerzenie .com lub .waw. Jeżeli plik zostanie otwarty na komputerze, robak instaluje się na zaatakowanej maszynie. Jednak otwarcie załącznika przez kliknięcie nie jest konieczne. Luka w Internet Explorer wersji 5 i 5.01 wykorzystywana przez worma pozwala na otwarcie załącznika i bez tego.

Nieszczelność ta została skorygowana przez Microsoft w marcu, w wydanych wtedy łatkach. Według zapewnień firmy użytkownicy z zainstalowanymi Outlook E-mail Security Update dla Outlook 98, 2000 i 2001 nie mogą być w ten sposób zainfekowani. Co więcej, użytkownicy ci nie mogą też rozpowszechniać wirusa, nawet jeżeli zostali zainfekowani.

W trakcie działania robak zapisuje plik formatu .EML o nazwie "meXXXX.tmp.exe" w katalogu C:\Windows\Temp. Plik ten zawiera załącznik wysyłany później przez robaka. Robak wysyła zainfekowane wiadomości, gdy jest otwarty Outlook Express lub Microsoft Outlook. Do rozsyłania używa własnego motoru SMTP, a także Messaging API. Dodatkowo robak przegląda otoczenie sieciowe w poszukiwaniu wszystkich udostępnionych katalogów z prawami zapisu. Jeśli je znajdzie, to zapisuje w nich pliki z rozszerzeniem .NWS lub .EML, zawierające robaka dołączonego do załączników. Stwierdzono, że wirus infekuje także pliki typu .EXE. Modyfikuje też plik SYSTEM.INI dopisując wartość "Explorer.exe load.exe -dontrunold", co pozwala mu uruchamiać się przy każdym starcie systemu operacyjnego Windows. Wirus nadpisuje również swoją zawartością pliki: RICHED20DLLl i MMC.EXE i ustawia ich atrybuty na "ukryty".

Robak ma właściwości podobne do TROJ_BLUECODE.A, polegające na atakowaniu serwerów z zainstalowanym IIS. Wirus w trakcie zapisywania plików na dysk wykonuje skrypt, który dodaje konto gościa do lokalnej Grupy Gości i lokalnej grupy administratorów.

W każdy przypadku zaraz po tym jak worm zainstaluje się na komputerze zaczyna przeszukiwać intranety lub Internet na porcie 80, w celu odszukania serwerów IIS, przeciwko którym wyprowadza atak DoS. Worm sprowadza 56-kbajtowy program o nazwie admin.dll do zaatakowanej maszyny (prawdziwy admin.dll zajmuje zazwyczaj 20 kB).

Nimda przeszukuje atakowane serwery IIS wykorzystując nie tylko znaną lukę przepełnienia bufora wykorzystywaną przez Code Red, ale prawdopodobnie także kilkanaście innych słabych punktów IIS. Po opanowaniu serwera IIS próbuje zmieniać strony webowe dodając do nich skrypty Javy. Kiedy przeglądarka webowa próbuje ściągnąć taką stronę, JavaScrip dołączony przez worma wystawia prompt pytający użytkownika, czy zaakceptować tą stronę. Jeżeli użytkownik odpowie pozytywnie, cykl infekcji jest kontynuowany. Istnieją pewne przypuszczenia, że Nimda może pracować bez wystawiania tego prompta, infekując po prostu komputer za pośrednictwem przeglądarki.

Nimda rozprzestrzenia się też za pośrednictwem procesu udostępniania plików w sieci. Mechanizm ten często jest wykorzystywany w sieciach do bezpośredniego przesyłania plików pomiędzy pecetami bez udziału serwera. Współdzielenie plików w sieci jest domyślnie wyłączone w Windows, tak więc dopóki nie zostanie uaktywnione, ta droga rozpowszechniania nie może być użyta. Ponieważ robak ten wykonuje szereg różnych rzeczy jednocześnie, w celu wyprowadzenia ataku DoS eksperci ochrony zalecają walkę z nim za pomocą różnych środków obronnych: od oprogramowania antywirusowego począwszy, przez filtrowanie załączników na bramach do ekstremalnego odcinania dostępu do Internetu.

Z ostatniej chwili.

Po początkowych obawach związanych z pojawieniem się robaka Nimda po kilu dniach okazało się, że nie był on taki straszny, jak się spodziewano. Skutki jego działania w Internecie były ograniczone, poinformowały w ostatni piątek firmy zajmujące się śledzeniem tego typu problemów.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200