病毒名稱
Win32.Nimda.A其它名稱
W32/Nimda.A@mm,尼姆達病毒屬性
檔案型病毒危害性:中等危害流行程度:高具體介紹
Win32.Nimda(又名W32/Nimda@MM)是一種利用已知Internet Explorer和IIS系統的漏洞來進行傳播的Internet 蠕蟲。它也象檔案型病毒那樣可以感染Win32執行檔和以html, htm, asp 為擴展名的檔案。蠕蟲可能通過如下方式進入系統:
通過一個特定MIME 頭的HTML 郵件;
通過瀏覽一個已受感染系統的WEB站點;
通過打開網路共享;
通過一個未打補丁的 IIS 系統 ( 4.0 和 5.0).
當用戶瀏覽一個攜帶有蠕蟲的HTML郵件,或訪問一個被感染的WEB站點,Internet Explorer會下載一個執行Nimda.A 代碼的附屬檔案程式( readme.exe )。這種情況的產生是因為微軟Internet Explorer 5.01 和 5.5中的"Incorrect MIME Header"弱點。這個安全漏洞的詳細描述和相應補丁可參見:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-020.asp
對於運行IIS的系統,蠕蟲可能利用如下HTTP安全漏洞:
Microsoft IIS 4.0/5.0檔案許可規範漏洞( FilePermission Canonicalization Vulnerability )
Microsoft IIS/PWS 字元逃離解碼命令執行漏洞(Escaped Characters Decoding Command Execution Vulnerability )
Microsoft IIS 和 PWS 擴展統一編碼目錄可通過漏洞(Extended Unicode Directory Traversal Vulnerability )
蠕蟲通過任意選擇的IP位址查找有漏洞的Internet 伺服器。這個地址的產生和進行的掃描是由一個名為mmc.exe 的進程來執行的(mmc.exe 檔案被蠕蟲本身的副本所覆蓋)。當mmc.exe 進程執行的時候,Win NT/2000用戶可能會明顯感到系統性能變慢。此外,蠕蟲會把自身複製為Admin.dll 檔案到所有驅動器的根目錄。(蠕蟲會把Admin.dll 標記為真的DLL檔案)
當蠕蟲連線到受害機器的後,會搜尋所有目錄並通過在檔案中加入一行JavaScript 代碼來感染htm, asp 和 html檔案 。在感染成功的每一個目錄中,蠕蟲都會生成含有它自身MIME 代碼格式的檔案readme.eml 或 readme.nws。當一個受感染的htm* 或 asp檔案被打開後蠕蟲將在這些MIME檔案中被執行。此外,蠕蟲病毒還會生成許多*.eml的檔案.
蠕蟲會感染Win32執行檔(winzip32.exe 檔案除外),並讓這些受感染的程式使用原來的圖示。
在感染的 Win9x 系統上,蠕蟲為了在下一次能被執行,會複製自身為load.exe 檔案到Windows 的系統目錄下,並修改system.ini 檔案:
Shell=explorer.exe load.exe -dontrunold
Nimda.A也會以一個合法的檔案名稱riched20.dll複製自身到含有.DOC檔案的目錄中。
