SEOSERVISE - Защита сайтов от хакеров.

 
   
 

Главная


 


Червь Nimda 18 сентября 2001 года От пользователей и администраторов хлынули потоки сообщений, в которых со­ держались подробности нападений на их Web -серверы. Кроме самих Web -атак, в них упоминались также подозрительные почтовые сообщения с вложенным аудиофайлом. На первый взгляд складывалось впечатление, что все эти проблемы порождены новой версией червя Code Red . Однако последующий анализ показал, что в сети появился новый вирус-червь. Новый червь, получивший официальное название W 32/ Nimda - A или просто Nimda , был предназначен для инфицирования систем Win 9 x , NT и Windows 2000. Для своего распространения и инфицирования компьютеров червь Nimda использовал сразу несколько возможностей. • Через электронную почту: Outlook . Для инфицирования передается почтовое со­ общение с вложением readae . exe , которое имеет тип audio / x - wav . Если это со­ общение принято с использованием уязвимого почтового клиента, то при его предварительном просмотре файл readrae . exe автоматически выполняется без согласия пользователя. При этом может быть указана произвольная тема со­ общения и ложный электронный адрес отправителя. • Через Web : IIS . Червь выполняет поиск Web -серверов с потайным ходом root . exe , установленным ранее вирусом CodeRed П. В качестве других методов проникновения могут использоваться изъяны Unicode ( CVE -2000-0884) и двойного декодирования ( CVE -2001-0333). Обе ошибки связаны непосредст­ венно с Web -сервером IIS компании Microsoft . • HI Ml -файлы Червь добавляет код во все ASP -, HTML - и НТМ-файлы, содержа­ щиеся на инфицированном сервере. В результате могут быть инфицированы все узлы, с которых пользователи обращались к этим инфицированным страницам. Совместно используемые сетевые ресурсы — червь Nimda может распространяться также через неправильно сконфигурированные или незащищенные сетевые ресурсы Подробности По электронной почте передаются сообщения с вложением readme . exe . Пользу­ ясь изъянами некоторых версий Internet Explorer и почтового клиента Outlook , этот исполняемый файл запускается автоматически без участия пользователя. Червь Nimda делает этот файл скрытым и копирует его в корневой каталог системы под именами load . exe и riched 32. dll . Затем червь пытается "распространить" себя через совместно используемые сетевые ресурсы. В файл system . ini добавляется строка shell = explorer . exe - dontrunold .

 

 

 

 

 

 
 

1 |2 |3 |4 |5 |6 |7 |8 |9 |10 |11 |12 |13 |14 |15 |16 |17 |18 |19 |20 |21 |22 |23 |24 |25 |26 |27 |28 |29 |30 |31 |32 |33 |34 |35 |36 |37 |38 |39 |40 |41 |42 |43 |44 |45 |46 |47 |48 |49 |50 |51 |52 |53 |54 |55 |56 |57 |58 |59 |60 |61 |62 |63 |64 |65 |66 |67 |68 |69 |70 |71 |72 |73 |74 |75 |76 |77 |78 |79 |80 |81 |82 |83 |84 |85 |86 |87 |88 |89 |90 |91 |92 |93 |94 |95 |96 |97 |98 |99 |100 |