Nimda, meglio conosciuto con il nome Win32/Nimda@MM,
è sostanzialmente un Internet Worm mass-mailing
(@MM) altamente pericoloso.
Infetta le varie piattaforme Windows (9x, NT, 2000,
ME) compresi i server NT/2000.
Si propaga con metodi differenti utilizzando vari canali
di infezione e sfruttando alcune falle di Internet Explorer
e IIS (Internet Information Services, il servizio di
web publishing integrato in Windows 2000).
Il worm si trasmette via e-mail (si presenta come allegato
con il nome di readme.exe), colpisce client che
visitano un sito web ospitato in un sistema già
infetto, sfrutta le condivisioni di rete all'interno
di LAN con client Windows.
Ma perché il worm è stato classificato
dalle aziende antivirus ad alto rischio? La sua
pericolosità sta nella velocità trasmissiva
tra reti intranet, network aziendali e pc di utenti
privati.
In 24 ore ha infettato USA, Europa ed Australia, colpendo
circa 2 milioni di macchine.
A nostro parere Nimda
sembra essere il worm più distruttivo
ed intelligente che sia mai apparso.
Il codice di Nimda
è alquanto complesso: sfrutta alcune caratteristiche
del pericoloso Code Red
ma ha molte potenzialità in più del temuto
worm, e si autoreplica come il conisciuto Sircam
Il worm si propaga attraverso le e-mail come allegato
MIME con una sezione "text/html"
ed una "audio/x-wav"
contenente il file readme.exe.
L'escamotage di mascherare l'allegato readme.exe
in una sezione "audio/x-wav"
ha ingannato non pochi firewall che hanno consentito
l'esecuzione di un allegato "audio".
Nimda, una volta attivo, si auto invia a tutti gli indirizzi
presenti nella rubrica del personal infetto (analogia
con Sircam).
Se viene infettato un sistema di LAN, Nimda contagia
tutti i client connessi in rete ed inserisce in ogni
pagina del server colpito il codice Javascript che automatizza
l'apertura del file readme.eml, infettando così
quegli utenti che navigano in un sito o in una rete
locale.
Non solo, ma si preoccupa di aggiungere l'utente Guest
assegnandogli i privilegi del gruppo Administrators
con conseguenze catastrofiche per l'intera rete.
Ma come avviene il contagio?
L'abbiamo già accennato.
Nimda sembra diffondersi in almeno tre
modalità differenti. Il worm sfrutta gli indirizzi
e-mail presenti nella rubrica, il software IIS e i drive
di dispositivi condivisi dai computer.
Lanciato l'eseguibile (il nome tipico è README.EXE)
il worm creerà il file mepXXXX.tmp.exe
nella cartella C:/Windows/Temp.
Il file tmp eseguibile contiene il file allegato e-mail
che il worm utilizza per inviare a tutti gli indirizzi
in rubrica. Grazie ad una voce contenuta nel Wininit.ini
il worm può cancellare uno o più files
temporanei e crearne di nuovi.
Parallelamente alla creazione di files del tipo mepXXXX.tmp.exe,
Nimda si preoccuperà di creare il file LOAD.EXE
e di sovrascrivere il file RICHED20.DLL
- entrambi nella cartella di sistema di Windows -, abilitando
gli attributi Nascosto
e Sistema.
Crea inoltre la seguente riga di comando nella sezione
[boot] del file
System.ini che
verrà eseguita ad ogni avvio del sistema:
Shell="Explorer.exe load.exe-il dontrunold
Infine crea una copia di se stesso nel file MMC.EXE
nella cartella di Windows.
Il worm si propaga via e-mail utilizzando il motore
SMTP. Si replica inviando copia di se stesso ad ogni
indirizzo contenuto nella rubrica degli utenti che utilizzano
Microsoft Outlook o Outlook Express.
Successivamente il worm scansiona la rete alla ricerca
di quei server IIS
- WinNT / Win2000 - vulnerabili al bug "Web
Server Folder Traversal" ed utilizzando
la falla già aperte dal noto Code Red infettano
il sistema.
Ricordiamo che l'applicazione della patch denominata
"August 15, 2001 Cumulative Patch for IIS",
distribuita da Microsoft, dovrebbe garantire buona dose
di tranquillità da eventuali attacchi su questo
fronte.
Individuato il server, Nimda si trasferisce scaricando
il file ADMIN.DLL
nella root della nuova vittima.
Eseguito, provvede ad aggiungere l'utente Guest
alla rete assegnandogli i privilegi del gruppo Administrators.
Controlla inoltre che il drive c$=c sia condiviso
per poter iniziare l'attività di propagazione
nelle varie macchine locali attraverso la condivisione
dei files.
Infine bisogna ribadire che nel worm è contenuto
il codice per infettare alcuni tipi di files eseguibili
tramite un browser, quali quelli con estensione HTML,
HTM, ASP, aggiungendo del codice
Javascript che provvederà ad aprire
il file README.EML.
Navigando con una versione di Internet Explorer precedente
alla SP2 il file verrà eseguito in automatico
nel browser dell'utente che sta visitando la pagina
infetta.
Il codice che acclude è il seguente:
<html>
<script language="JavaScript">
window.open("readme.eml",null,"resizable="no",
top=6000, left=6000")
</script>
</html>
All'interno il worm contiene il seguente testo:
Concept Virus (CV) V.5, Copyright (C) 2001 R.P.China
che farebbe (sfacciatamente) pensare ad una paternità
cinese.
|