Sākumlapa » Bez kategorijas » “Nimda” vairojas un izplatās

“Nimda” vairojas un izplatās

Jau atklātas 5 tīkla tārpa modifikācijas

Pusotra
mēneša laikā kopš “Nimda” atklāšanas
2001. gada 18. septembrī

“Kaspersky
Lab” reģistrējusi šī tīkla tārpa piecu
modifikāciju parādīšanos. Par laimi, nevienai no tām
vēl nav izdevies izraisīt globālu, sākotnējai
līdzīgu epidēmiju. Neraugoties uz to, mēs iesakām
iepazīties ar šo modifikāciju aprakstu un, lai veiksmīgi
atvairītu šos uzbrukumus, 
steidzami atjaunot Kaspersky™Anti-Virus datu bāzi.

Nimda.a

Tārpa
oriģinālais, 2001. gada 18, septembrī atklātais
variants.

Datorā
iekļūst vairākos ceļos. Pirmkārt, caur elektronisko
pastu. Mērķdatorā tiek nogādāta HTML formāta
inficēta vēstule, kura satur virkni pievienoto objektu.
Pārskatot vēstuli, viens no šiem objektiem (fails README.EXE,
apmēram 57K), bez lietotāja ziņas automātiski
palaižas. Šim nolūkam tārps izmanto 2001. gada martā
atrasto caurumu Internet Explorer drošības
sistēmā.

Otrkārt,
apmeklējot inficētas Web lapas. Oriģinālās lapas
vietā apmeklētājam tiek parādīta tās
modificēta versija, kura satur kaitīgu Java- programmu. Šī
programma, izmantojot augstāk minēto caurumu Internet Explorer
aizsardzībā, attālinātajā datorā ielādē
un palaiž “Nimda”
kopiju.

Treškārt,
caur lokālā tīkla resursiem. Tārps skanē visus
pieejamos tīkla resursus un ieraksta tur tūkstošiem savu kopiju.
Aprēķins balstās uz to, ka lietotājs, atradis savā
diskā vai serverī nesaprotamu failu, to palaidīs un pašrocīgi
inficēs datoru.

Ceturtkārt,
“Nimda” tāpat nokļūst Web serveros ar Microsoft
Internet Information Server (IIS). Priekš tam tārps izmanto
attiecīgajā Microsoft biļetenā aprakstīto caurumu IIS
“Web Server Folder Traversal” aizsardzībā.

Nimda.b


ir gandrīz precīza tārpa sākotnējās versijas
(“Nimda.a”) kopija, kura ir sapakota ar pakotāju PCShrink (Win32
izpildāmo failu arhivators). Tārpa kodā failu nosaukumi
“README.EXE” un “README.EML” ir attiecīgi aizvietoti
ar “PUTA!!.SCR” un “PUTA!!.EML”.

Nimda.c


ir precīza, ar pakotāju UPX saspiesta, tārpa
sākotnējās versijas kopija.

Nimda.d

Atšķirībā
no “Nimda.a” tārpa ķermenī rinda “copyright”
ir izmainīta uz “HoloCaust Virus.!
V.5.2 by Stephan Fernandez.Spain”. Tas ir sapakots ar PECompact, tādējādi
faila-tārpa nesēja izmērs ir samazinājies līdz 27K.

Nimda.e

Šī
tārpa kodā ir nenozīmīgas izmaiņas: dažas
kaitīgās programmas procedūras ir palabotas un
optimizētas.  „Savvaļā”
tika atrasts 2001. gada oktobra beigās. Redzamākās
atšķirības no tārpa sākotnējās versijas ir
sekojošas:

Pievienotā
faila nosaukums: SAMPLE.EXE (README.EXE vietā)

DLL-
bibliotēku nosaukums: HTTPODBC.DLL vai COOL.DLL (ADMIN.DLL vietā)

Rindiņa
“copyright” šajā versijā izskatās sekojoši:
“Concept

Virus(CV)
V.6, Copyright(C)2001, (This’s CV, No Nimda.)”

Sīkāks
“Nimda” apraksts pieejams Kasperska Vīrusu
Enciklopēdijā. Aizsardzības pasākumi pret visām
zināmajām vīrusa modifikācijām jau ir pievienoti
Kaspersky™Antivisus datu bāzei.

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

15 + = 22

Uz augšu