|
|||
I-Worm/NimdaWin32/Nimda je velmi komplikovaným Internetovým virem. Přichází ve formě přílohy zprávy elektronické pošty pod jménem README.EXE. taková zpráva neobsahuje žádný text a její předmět je buď prázdný nebo obsahuje náhodně vybrané jméno souboru. Virus využívá bezpečnostní díru starších verzí programu MS-Outlook a Outlook Express: příloha může být spuštěna pouhým prohlížením zprávy v náhledovém okně. Tento virus je schopen pracovat pod všemi verzemi operačního systému Windows.Po svém spuštění se virus zkopíruje do systémového adresáře Windows pod
jmény LOAD.EXE a RICHED20.DLL (originální soubory jsou
přepsány, pokud existují) Tyto soubory mají nastaveny atributy system a
hidden. Virus modifikuje také soubor SYSTEM.INI a přidáním
následujícího řádku zajistí svoje spuštění při každém startu počítače: Pak virus vyhledává emailové adresy dalších obětí: kromě standardních způsobů (Outlook, Exchange) také prohledává soubory .HTM a .HTML. Virus je také schopen se šířit po sdílených discích v lokální síti. Vytváří soubory .EML a .NWS ve všech adresářích, ke kterým má právo zápisu. Tyto soubory obsahují speciální MIME formu viru, která může být otevřena programem Outlook. Virus též vyhledává stránky HTML a ASP na vzdáleném počítači a pokud nějaké nalezne, vytvoří soubor README.EML a na konec webové stránky přidá krátký program v Javascriptu, který při prohlížení dané stránky otevře soubor README.EML. Virus také otevírá všechny lokální disky pro sdílení po lokální síti. Virus kontaktuje počítače na náhodných IP adresách a zjišťuje, zda se nejedná o IIS web server, který obsahuje bezpečnostní díru známou jako Unicode vulnerability (ta byla využívána i wormem CodeBlue). Snaží se i zjistit zadní vrátka, otevřená wormem Win32/CodeRed.C. Pokud takový server nalezne, hledá na něm soubory typu HTML/ASP, které pak modifikuje výše popsaným způsobem. Napadené servery pak mohou zobrazit stránku, která uživatele vybízí ke stažení a otevření EML souboru, který obsahuje virus jako přílohu. Virus je schopen ve formě emailu proniknout i firewallem a infikovat kompletní intranetové sítě. Virus také přidává uživatele GUEST do skupiny Administrators, takže má
pak tento uživatel plnou kontrolu nad počítačem. Také modifikuje klíče v
registry tak, že jsou skryta standardní rozšíření souboru. Všichni uživatelé, kteří používají Microsoft Internet Explorer (ver 5.01 - 5.5 bez SP2) by měli co nejdříve instalovat Microsoft patch pro Incorrect MIME Header. Všichni uživatelé provozujícíMS IIS web server by měli co nejdříve instalovat Microsoft IIS souhrný patch ze dne 15. srpna 2001. Odstranění:
Zdroj: Alwil software - výrobce antiviru AVAST |
|||
|