Pod lupą: Nimda Worm

W ostatnich dniach pojawił się kolejny, niezwykle groźny wirus komputerowy. Nimda bo o nim mowa, to wirus atakujący serwery, które używają oprogramowania Windows 2000 i Windows NT.

Jak poinformował wcześniej mrman, tytułowy wirus wykorzystuje znane i lubiane dziury w serwerach IIS i używa Outlook i Outlook Express’a do dystrybuowania się via email. Dzisiaj przyglądniemy się troszkę bliżej temu wirusowi.

W pierwszym rzędzie wykorzystywana jest ta sama luka w serwerach IIS, z której korzystały wcześniej robaki typu Code Red. Dodatkowo, wyłapywana jest obecność backdoora pozostawionego przez Code Red II lub sadmind/IIS, która także może być wykorzystana do infekcji. W razie pomyślnego zarażenia serwera WWW strony podmieniane są na zawierające kod wirusa w ukrytym pliku wykonywalnym.

Wirus rozsyła się jako załącznik poczty elektronicznej, o nazwie readme.exe. Taka wiadomość nie zawiera treści, jedynie załącznik, który atakuje programy Windows. Ma tez bardzo długi i niezrozumiały tytuł. Korzystając z błędu w oprogramowaniu klientów pocztowych MS Outlook i Outlook Express, do aktywacji robak wymaga jedynie podglądu (przeczytania treści) wiadmości w tych programach. Infekcja następuje nawet bez uruchomienia przez użytkownika pliku załącznika.

Po aktywacji wirus tworzy własne kopie w katalogu systemu Windows w pliku load.exe oraz nadpisuje plik riched20.dll. Pierwszy plik jest uruchamiany przy każdym starcie systemu Windows poprzez wpis w pliku system.ini. Wpis ten ma następującą składnię: shell=explorer.exe load.exe -dontrunold. Natomiast plik riched20.dll jest uruchamiany przy każdym uruchomieniu programu otwierającego plik typu RTF. Ponadto robak w systemach Windows NT/2000 dołącza własny wątek do aplikacji explorer.exe, a w systemach Windows 9x/Me rejestruje się jako usługa systemowa. Obie te akcje powodują, że działalność robaka jest niewidoczna dla użytkownika.

Jakby tego było mało robak rozprzestrzenia się także w sposób typowy dla wirusów mailowych, tj. rozsyłając swoją kopię do wszystkich z książki adresowej zainfekowanego systemu. Wiadomość ma zwykle bardzo długi temat oraz załącznik z oznaczonym typem MIME audio/x-wave, będący w rzeczywistości wykonywalnym plikiem binarnym readme.exe. Również w tym przypadku do infekcji wystarczy włączona opcja podglądu wiadomości, która w wielu przypadkach wystarczy do uruchomienia załącznika. Wirus Nimda rozprzestrzenia się nadzwyczaj szybko i mimo, że nie ma zaszytych mechanizmów destrukcyjnych wyjątkowo silnie obciąża łacza, doprowadzając często do przypadków DoS.

Dostępne są łaty zarówno do błędu wykorzytywanego przy uruchamianiu pliku w programie pocztowym jak i do infekcji serwerów IIS, odpowiednio:

– Microsoft Bulletin/MS01-020
– Microsoft Bulletin/ms00-078