Igiho stránka o virech
Novinky
Kniha o virech
1.Pomoc
Testy
Odkazy
Download
AV-Konference
Akce
Autor

I-Worm/Nimda

Win32/Nimda je velmi komplikovaným Internetovým virem. Přichází ve formě přílohy zprávy elektronické pošty pod jménem README.EXE. taková zpráva neobsahuje žádný text a její předmět je buď prázdný nebo obsahuje náhodně vybrané jméno souboru. Virus využívá bezpečnostní díru starších verzí programu MS-Outlook a Outlook Express: příloha může být spuštěna pouhým prohlížením zprávy v náhledovém okně. Tento virus je schopen pracovat pod všemi verzemi operačního systému Windows.

Po svém spuštění se virus zkopíruje do systémového adresáře Windows pod jmény LOAD.EXE a RICHED20.DLL (originální soubory jsou přepsány, pokud existují) Tyto soubory mají nastaveny atributy system a hidden. Virus modifikuje také soubor SYSTEM.INI a přidáním následujícího řádku zajistí svoje spuštění při každém startu počítače:

[boot]
shell=explorer.exe load.exe -dontrunold

Pak virus vyhledává emailové adresy dalších obětí: kromě standardních způsobů (Outlook, Exchange) také prohledává soubory .HTM a .HTML.

Virus je také schopen se šířit po sdílených discích v lokální síti. Vytváří soubory .EML a .NWS ve všech adresářích, ke kterým má právo zápisu. Tyto soubory obsahují speciální MIME formu viru, která může být otevřena programem Outlook. Virus též vyhledává stránky HTML a ASP na vzdáleném počítači a pokud nějaké nalezne, vytvoří soubor  README.EML a na konec webové stránky přidá krátký program v Javascriptu, který při prohlížení dané stránky otevře soubor README.EML. Virus také otevírá všechny lokální disky pro sdílení po lokální síti.

Virus kontaktuje počítače na náhodných IP adresách a zjišťuje, zda se nejedná o IIS web server, který obsahuje bezpečnostní díru známou jako Unicode vulnerability (ta byla využívána i wormem CodeBlue). Snaží se i zjistit zadní vrátka, otevřená wormem  Win32/CodeRed.C. Pokud takový server nalezne, hledá na něm soubory typu HTML/ASP, které pak modifikuje výše popsaným způsobem. Napadené servery pak mohou zobrazit stránku, která uživatele vybízí ke stažení a otevření EML souboru, který obsahuje virus jako přílohu. Virus je schopen ve formě emailu proniknout i firewallem a infikovat kompletní intranetové sítě.

Virus také přidává uživatele GUEST do skupiny Administrators, takže má pak tento uživatel plnou kontrolu nad počítačem. Také modifikuje klíče v registry tak, že jsou skryta standardní rozšíření souboru.
Virus obsahuje následující text:

Concept Virus (CV) V.5, Copyright (C) 2001 R.P.China

Všichni uživatelé, kteří používají Microsoft Internet Explorer (ver 5.01 - 5.5 bez SP2) by měli co nejdříve instalovat Microsoft patch pro Incorrect MIME Header. Všichni uživatelé provozujícíMS IIS web server by měli co nejdříve instalovat  Microsoft IIS souhrný patch ze dne 15. srpna 2001.

Odstranění:

  • smažte příslušnou řádku v souboru SYSTEM.INI a přestartujte počítač
  • smažte všechny napadené soubory (původní soubory, které byly virem přepsány, je nutno obnovit ze záložní kopie)
  • smažte všechny EML soubory, vytvořené virem
  • zkontrolujte všechny soubory HTML/ASP zda neobsahují část viru vytvořenou v Javascriptu
  • zkontrolujte, zda je uživatel GUEST členem skupiny ADMINITRATORS a pokud ano, zrušte toto členství
  • zkontrolujte nastavení sdílení lokálních disků
  • nainstalujte záplaty od Microsoftu, zmíněné výše

Zdroj: Alwil software - výrobce antiviru AVAST

Zpět