Идут технические работы! Возможны перебои с доступом к сайту!

Вирус Nimda

Из проекта Викизнание

Win32.HLLW.Nimda.57344 Очень опасный вирус-червь. Размножается под операционными системами WinNT/Win2k/Win9x. Способен поражать как серверы IIS (Internet Information Server) 4/5, так и клиентские станции.

При запуске инфицированного файла вирус первым делом проверяет наличие собственной активной копии в памяти компьютера и, если такая копия найдена, завершает работу. В противном случае вирус определяет, из какого файла он был активизирован и, если активация произошла из инфицированного вирусом файла (а не вирусного файла-дроппера, содержащего исключительно код вируса), то вирусом создается файл с именем, аналогичным запущенному с добавленным пробелом в конце, т.е.

TEST.EXE -> TEST .EXE (или, если запуск был произведен с сетевого диска, вирус создает временный файл со случайным именем во временном каталоге), в который из собственных ресурсов (resources) инфицированного файла вирус извлекает содержимое оригинального файла, а затем запускает его.

Далее вирус создает свою копию во временном каталоге и запускает ее с параметром -dontrunold в командной строке, помечает запущенный файл как подлежащий удалению при следующей перезагрузке системы (через файл WININIT.INI в Win9x или вызовом соответствующей функции API в WinNT/2k) и с вероятностью 1/5 пытается удалить все "README*.EXE" файлы во временном каталоге (т.к. из-за используемой в размножении вируса ошибки в Internet Explorer вирусные копии в этих файлах будут накапливаться во временном каталоге), после чего первая вирусная копия завершает свою работу.

Запущенная копия создает еще один свой экземпляр со случайным именем во временном каталоге и пытается очистить собственную секцию ресурсов от возможно содержащегося там оригинального файла-родителя, но в системах Win9x системная реализация механизма работы с ресурсами отсутствует, поэтому данная попытка удачна только в OS WinNT/2k. После чего пытается определить из настроек TCP/IP в каждом из зарегистрированных сетевых интерфейсов адрес используемого DNS сервера и в случае успеха сохраняет адрес в собственном коде, записывая его непосредственно в ранее созданный временный вирусный файл. Далее вирус создает собственный файл-шаблон, состоящий из сообщения, содержащего специальным образом оформленный вирусный код в формате MIME, который будет впоследствии использован для рассылки по E-mail. Далее вирус, в зависимости от типа системы, пытается внедрить свою копию в системный процесс EXPLORER (WinNT/2k) либо регистрирует свой процесс как сервисный (Win9x), исключая его из списка задач. После чего входит в основной цикл размножения.

Вирус ожидает 30 секунд после чего получает имя хост-машины, ее IP-адрес, в системе WinNT/2k запускает в отдельной нити (thread) собственную реализацию TFTP сервера (порт 69/udp), которая при запросе будет отдавать содержимое вирусного файла клиентской стороне и, в зависимости от системы, порождает 60 (рабочая станция) или 200 (сервер) нитей для сканирования и атак на уязвимые IIS серверы (в системах Win9x попытки данной атаки вирусом не предпринимаются).

Для атаки на IIS серверы вирус использует уязвимость "Microsoft IIS CGI Filename Decode Error Vulnerability" (май 2001), уязвимость "Microsoft IIS Unicode Bug" (декабрь 2000), а также пытается использовать последствия компрометации серверов червями CodeRedII и sadmind/IIS.

В случае успеха атаки на удаленном сервере инициируется TFTP-сессия с атакующим хостом, вирусом передается собственный код, который копируется в файл ADMIN.DLL, запускается на выполнение; в свою очередь производит собственную копию в файл %windows%\mmc.exe и перезапускает его.

Далее работающий в системе Win9x вирус создает свою копии в %WINDOWS%\LOAD.EXE и %WINDOWS%\RICHED20.DLL с атрибутами read-only, hidden и system и записывает вызов LOAD.EXE в параметр Shell файла SYSTEM.INI, - таким образом, вирус будет активизироваться при каждой перезагрузке.

Под WinNT/2k вирус проходит все подкаталоги до четвертого уровня вложенности на всех дисках, ищет файлы DEFAULT, INDEX, MAIN и с определенной вероятностью файл readme с расширениями .ASP, .HTM, .HTML, при их нахождении копирует ранее созданный вирусный MIME-шаблон в файл README.EML в найденном каталоге и дописывает к содержимому найденных файлов небольшой скрипт, при попытке просмотра которого в Web-браузере, в новом окне будет открыт вирусный файл README.EML. Таким образом, вирусом удаляются главные страницы на Web сервере, а при попытке захода пользователя на такую страницу в случае, если его Internet Explorer уязвим к используемой вирусом "дыре" в безопасности, на компьютере пользователя автоматически будет активизирован вирус (см. ниже).

Далее (только под WinNT/2k) вирус получает в реестре список зарегистрированных приложений и пытается инфицировать все принадлежащие им *.EXE файлы. Инфицирование производится вирусом перемещением оригинального содержимого файла в собственную секцию ресурсов и корректировку отображаемой вирусной иконки (icon) на принадлежащую оригинальному файлу.

После этого вирус производит поиск и инфицирование файлов на зарегистрированных доступных сетевых ресурсах (WinNT/2k) или открывает локальные диски для полного беспарольного сетевого доступа (Win9x). Проход осуществляется по всем каталогам: инфицируются все *.EXE файлы (кроме WINZIP32.EXE) если в каталоге найден файл с расширением .EML, .NWS или .DOC, то в этом каталоге вирусом создается собственная копия с именем RICHED20.DLL. Библиотека RICHED20.DLL используется для работы с Reach Edit Controls многими приложениями (в том числе Outlook и MS Office). Таким образом, при попытке открытия файла в каталоге будет запущен Outlook или MS Office, который в процессе своей инициализации попытается загрузить (если она уже не загружена) библиотеку RICHED20.DLL. Так как система сначала пытается искать загружаемые библиотеки в текущем каталоге, то будет загружена не оригинальная библиотека, а вирусная копия (!). также при нахождении .EML или .NWS файлов вирус с определенной вероятностью может создать в этом каталоге свою копию в виде MIME-шаблона с именем одного из файлов в папке My Documents (обычно) и расширением EML или NWS. Далее вирус пытается определить, используя функции MAPI, адрес использующегося на хосте SMTP сервера и список адресов из адресной книги и кэша HTML файлов, и разослать по ним свои копии. Рассылаемые вирусом копии представляют собой специально подготовленное текстовое HTML-сообщение с прикрепленным файлом readme.exe. Обычно размер файла - 57344 байта, однако в случае, если вирус стартовал из инфицированного файла и не смог очистить свою секцию ресурсов от оригинального содержимого инфицированной программы, размер файла может быть бОльшим. Данное сообщение составлено таким образом, чтобы при его просмотре средствами Internet Explorer, а также программами, использующими Internet Explorer для просмотра html (Outlook, Outlook Express), прикрепленный файл был бы запущен автоматически. Данная уязвимость - "Incorrect MIME header" была обнаружена в Internet Explorer в конце марта 2001 года.

После этого вирус выключает отображения скрытых файлов и расширений имен файлов в настройках Explorer и в системе WinNT/2k разрешает аккаунт Guest, добавляет пользователя Guest в группу Administrators и присваевает ему пустой пароль, затем открывая для полного сетевого доступа все локальные диски.

Далее вирус перебирает ip-адреса в случайном диапазоне и пытается получить доступ к доступным на запись сетевым ресурсам, где пытается распространить собственные копии, как это было описано выше.

После этих манипуляций вирус ожидает около 3 минут, после чего весь цикл повторяется.

Вирус содержит текстовую строку:

Concept Virus(CV) V.5, Copyright(C)2001 R.P.China Данный вирус, ввиду большого спектра использованных для атаки и распространения уязвимостей, представляет собой большую опасность: он способен размножаться различными способами и повторно атаковать оставшиеся уязвимыми системы даже после их излечения. Поэтому мы настоятельно рекомендуем установить последние обновления безопасности OS Windows.