NIMDA ,
inaczej: NIMDA.A, W32/Nimda.A@mm, CV-5, Minda, Concept Virus, Code Rainbow,
zbliżony do TROJ_BLUECODE.A, CODERED.A,
rozmiar: 57,344 Bytes
Nowe wersje: PE_NIMDA.E,
inaczej W32/Nimda.E@mm, PE_NIMDA.E-O, NIMDA.E
Wirus rozprzestrzenia się wykorzystujac
interfejsy Messaging API oraz własny motor SMTP. Może być uruchomiony po
otwarciu poczty przez Microsoft Outlook lub Outlook Express.
Zwracamy uwagę, iż nie jest konieczne uruchomienie programu załącznika !
Wirus rozchodzi się także przez współdzielone napędy. W tym celu,
podobnie jak PE_FUNLOVE.4099, przeszukuje sieć w której znajduje się
zarażony komputer, szukając napedów z włączonym prawem zapisu. Umieszcza
tam pliki .NWS lub .EML o losowych nazwach zwierających załącznik ze swym
kodem.
Robak może także zarazić pliki wykonywalne programów. Dołącza wówczas
swój kod na początku, dzięki czemu uruchamia się pierwszy.
Po uruchomieniu wirus umieszcza w
C:\Windows\Temp plik meXXXX.tmp.exe. Zawiera on plik załącznika wysyłanego
do potencjalnych ofiar wraz z pocztą email. Nazwa załacznika to zazwyczaj readme.exe,
ale także znane są przypadki, wirus lokuje się w plikach z rozszerzeniami
.wav oraz .com. Następnie nadpisuje plik RICHED20.DLL w katalogu
systemowym, zmieniajac jego atrybuty. Tworzy takze dodatkową kopię o nazwie
MMC.EXE, którą umieszcza w folderze Windows. Modyfikowana jest część
pliku SYSTEM.INI: "Explorer.exe load.exe –dontrunold",
dzięki czemu uruchamia się po każdym starcie systemu. W katalogu systemowym
umieszcza plik LOAD.EXE.
Wirus zwiera kod umożliwiający mu także zarażanie niektórych plików
HTML, HTM, lub ASP. Oto lista plików (nie jedynych), które może zmodyfikować:
- README.HTM
- README.HTML
- README.ASP
- MAIN.HTM
- MAIN.HTML
- MAIN.ASP
- INDEX.HTM
- INDEX.HTML
- INDEX.ASP
- DEFAULT.HTM
- DEFAULT.HTML
- DEFAULT.ASP
Programy Trend Micro identyfikują tę grupę
zarażonych plików jako JS_NIMDA.A.
Podobnie do TROJ_BLUECODE.A, robak
dociera do maszyny z zainstalowanym IIS wykrzystując IIS Web Directory
Traversal exploit. Wysyła zgłoszenie do serwera z zainstalowanym IIS,
nakazując mu ściągnięcie kopii ADMIN.DLL z zarażonej maszyny poprzez
protokoły TFTP (trivial file transfer protocol). Następnie wymusza, aby
sprowadzony plik .DLL znalazł się w katalogach C:\ADMIN.DLL, D:\ADMIN.DLL,
oraz E:\ADMIN.DLL.
Plik wirusa zwiera następujacy tekst:
–Concept Virus (CV) V.5, Copyright (C) 2001 R.P.China
Jak usunąć ?
1. Ściągnąć i uruchomić narzędzie
udostępniane przez producenta. Przed uruchomieniem należy zapoznac się z
instrukcją zawartą w pliku readme_nimda122.txt.
(do pobrania także z naszego serwera ftp)
Można także spróbować usunąć wirus w następujący sposób:
1. Odłączć komputer od sieci.
2. Wcisnąć Start>Run, wpisać SYSTEM.INI.
Odnaleźć "Shell =" i zmodyfikować:
Z:
Shell = explorer.exe load.exe –dontrunold
Na:
Shell = explorer.exe
Zapisać i zamknąć SYSTEM.INI.
3. Wcisnąć Start>Run, wpisać WININIT.INI.
Odszukać i wykasować wiersze zawierające następujący tekst:
mepXXXXX.tmp.exe
Zachować i zmknąć WININIT.INI.
4. Skanować zasoby programami Trend Micro i usunąć
wszystkie pliki zidentyfikowane jako PE_NIMDA.A. Korzystać z najnowszych
wzorców wirusów.
5. Zrestartować system i powtórzyć punkt 4.
6. Odtworzyć plik RICHED20.DLL poprzez następujące czynności:
Uwaga:Zamienić <%drive%> na literę określającą napęd CD.
- Używając dysku instalacyjnego Windows 98
SE, wcisnąć Start>Run. W otwartym okienku wpisać:
extract /a <%drive%>:\win98\setup\win98_37.cab riched20.dll /L
c:\windows\system
- Używając dysku instalacyjnego Windows
ME, wcisnąć Start>Run. W okienku wpisać :
extract /a:\win9x\win_14.cab riched20.dll /L c:\windows\system
- Używając Office 2000 Premium Edition,
kliknąć Start>Run. W okienku wpisać:
extract /a <%drive%>:\office1.cab riched20.dll /L c:\windows\system
Upewnić się, że są zainstalowane najnowsze dostępne łaty Explorera:
Jeśli nie są dostępne, spróbować ściągnąć poniższe. Zapoznać się z
materiałami Microsoft:Microsoft’s
Security Update page:
Dodatkowe instrukcje dla Windows ME
Uwaga: Windows ME zapisuje wybrane pliki
automatycznie do folderu C:\_Restore folder. Znaczy to, że zakażone pliki
mogą tam pozostawać jako pliki zapasowe i nie będą usunięte podczas
skanowania. Należy więc:
1. Wyłączyć opcję Restore Utility
2. Zrestartować system w trybie Safe Mode.
3. Skanować i usunąć pliki zidentyfikowane jako PE_NIMDA.A
4. Zresetować system.
5. Włączyć Restore Utility i powtórzyć 3 .
Dla użytkowników IIS:
1. Dla IIS 5.0 (Windows 2000 Server), pobrać Service
Pack 2
2. Wirus replikuje się korzystając z błedu znanego jako Microsoft IE
MIME Header Attachment Execution Vulnerability. Ściągnąć łatkę
z serwera Microsoft.
3. irus wykorzystuje także Microsoft Web Server Folder Traversal. Pobrać wyjaśnienia
4. Trend Micro zaleca także ściągnięcie Cumulative
IIS patch.
5. Wirus korzysta z luk w Microsoft IE (MIME Header Attachment Execution
Vulnerability), w zwiazku z tym należy ściągnąć niezbędne łaty ze
strony producenta.
6. Użytkownicy IIS powinni również zastosować odpowiednie łaty z uwagi na
fakt, iż wirus korzysta z błędów w oprorgamowaniu tego serwera
PE_NIMDA.E, inaczej
W32/Nimda.E@mm, PE_NIMDA.E-O, NIMDA.E
PE_NIMDA.E jest funkcjonalnym
odpowiednikiem swego poprzednika. Różnice leżą w nazwie załącznika: SAMPLE.EXE
zamiast README.EXE oraz HTTPODBC.DLL zamiast MMC.EXE
(odpowiedzialne za infekowanie dysków na komputerach z udostępnionymi
zasobami), HTTPODBC.DLL zamiast ADMIN.DLL (umieszczany na
dyskach C:\, D:\ oraz E:\).
Kod wirusa zawiera następujący tekst:
Concept Virus(CV) V.6,
Copyright(C)2001, (This's CV, No Nimda.)
Zakażone pliki wykonywalne identyfikowane są
jako: PE_NIMDA.E, natomist pliki HTML, HTM i ASP występują jako JS_NIMDA.A
Trend Micro opracował nowe,
udoskonalone narzędzie
do usuwania wirusa. Dostępne jest na stronach producenta oraz na naszym serwerze
ftp (fix_nimda.com). Przed jego zastoswaniem należy zapozanć się
z plikiem readme_nimda.txt.
Narzędzie usuwa także wariant wirusa o nazwie NIMDA.A-O.
Opracowano
na podstawie materiałów Trend Micro
© 2001 Trend Micro Incorporated. All Rights Reserved
