Win32.Nimda.A

簡介

病毒名稱:Win32.Nimda.A

其它名稱:尼姆達

病毒屬性:檔案型病毒 危害性:中等危害 流行程度:高

基本介紹

  • 外文名:Win32.Nimda.A
  • 病毒屬性:檔案型病毒
  • 危害性:中等危害
  • 流行程度:高
具體介紹,進入系統,

具體介紹

Win32.Nimda是一種利用已知Internet Explorer和IIS系統的漏洞來進行傳播的Internet 蠕蟲。它也象檔案型病毒那樣可以感染Win32執行檔和以html, htm, asp 為擴展名的檔案。

進入系統

通過一個特定MIME 頭的HTML 郵件;
通過瀏覽一個已受感染系統的WEB站點;
通過打開網路共享;
通過一個未打補丁的 IIS 系統 ( 4.0 和 5.0).
當用戶瀏覽一個攜帶有蠕蟲的HTML郵件,或訪問一個被感染的WEB站點,Internet Explorer 會下載一個執行Nimda.A 代碼的附屬檔案程式( readme.exe )。這種情況的產生是因為微軟Internet Explorer 5.01 和 5.5中的"Incorrect MIME Header"弱點。這個安全漏洞的詳細描述和相應補丁可參見:
對於運行IIS的系統,蠕蟲可能利用如下HTTP安全漏洞: Microsoft IIS 4.0/5.0檔案許可規範漏洞( File Permission Canonicalization Vulnerability )
Microsoft IIS/PWS 字元逃離解碼命令執行漏洞(Escaped Characters Decoding Command Execution Vulnerability )
Microsoft IIS 和 PWS 擴展統一編碼目錄可通過漏洞(Extended Unicode Directory Traversal Vulnerability )
蠕蟲通過任意選擇的IP位址查找有漏洞的Internet 伺服器。這個地址的產生和進行的掃描是由一個名為mmc.exe 的進程來執行的(mmc.exe 檔案被蠕蟲本身的副本所覆蓋)。當mmc.exe 進程執行的時候,Win NT/2000用戶可能會明顯感到系統性能變慢。此外,蠕蟲會把自身複製為Admin.dll 檔案到所有驅動器的根目錄。(蠕蟲會把Admin.dll 標記為真的DLL檔案)
蠕蟲連線到受害機器的後,會搜尋所有目錄並通過在檔案中加入一行JavaScript 代碼來感染htm, asp 和 html檔案 。在感染成功的每一個目錄中,蠕蟲都會生成含有它自身MIME 代碼格式的檔案readme.eml 或 readme.nws。當一個受感染的htm* 或 asp檔案被打開後蠕蟲將在這些MIME檔案中被執行。此外,蠕蟲病毒還會生成許多*.eml的檔案.
蠕蟲會感染Win32執行檔(Winzip32.exe 檔案除外),並讓這些受感染的程式使用原來的圖示。
在感染的 Win9x 系統上,蠕蟲為了在下一次能被執行,會複製自身為load.exe 檔案到Windows 的系統目錄下,並修改system.ini 檔案:
Shell=explorer.exe load.exe -dontrunold
Nimda.A也會以一個合法的檔案名稱riched20.dll複製自身到含有.DOC檔案的目錄中。

相關詞條

熱門詞條

聯絡我們