Come detto, Nimda
utilizza tre diversi canali per diffondersi
attraverso Internet, ma i meccanismi di infezione
identificati ieri dal CERT sono addirittura
cinque: da client a client via e-mail; da
client a client attraverso unità di rete condivise;
da server Web a client attraverso la navigazione
di siti compromessi; da client a server Web
attraverso la ricerca e lo sfruttamento della
falla "Microsoft IIS 4.0 / 5.0 directory
traversal"; da client a server Web attraverso
la ricerca e lo sfruttamento delle back door
installate in precedenza da Code Red II e
sadmind/IIS.
Questa eccezionale capacità nel riuscire a
sfruttare, anche in contemporanea, più metodi
d'infezione, fa sì che Nimda possa infettare
tutti i client Windows a 32 bit, e dunque
Windows 95, 98, ME, NT e 2000, ed i server
NT/2000.
Il virus si propaga attraverso le e-mail come
allegato MIME "multipart/alternative"
con una sezione "text/html" (vuota)
e una sezione "audio/x-wav" contenente
il file eseguibile "readme.exe"
(ma ieri Trend Micro ha fatto sapere a Punto
Informatico che si stanno diffondendo varianti
con estensioni differenti del file, come.wav
e.com).
Il CERT, organismo di sicurezza statunitense,
sostiene che per via della vulnerabilità "Automatic
Execution of Embedded MIME Types" delle
versioni di Internet Explorer precedenti alla
5.5SP1, "qualsiasi software di mail che
giri su una piattaforma x86 e che utilizzi
il motore di IE per visualizzare le pagine
HTML, eseguirà in automatico l'allegato della
mail e, come risultato, infetterà il sistema
con il worm". In pratica i client e-mail
vulnerabili sono Outlook e Outlook Express.
Come altri worm dello stesso tipo, anche Nimda
varia il soggetto della mail componendolo
con caratteri a caso (fino ad 80): le dimensioni
del file allegato rimangono però invariate
e pari a 57.344 byte.
Una volta lanciato l'eseguibile, il worm creerà
il file mepXXXX.tmp.exe all'interno
della cartella C:\Windows\Temp contenente
l'allegato e-mail in formato EML che il worm
utilizza per diffondere sé stesso verso altri
indirizzi di posta. Tramite una voce inserita
nel file Wininit.ini il virus si preoccupa
poi di cancellare i precedenti file temporanei
e crearne di nuovi.
Nimda va a modificare anche il file system.ini
inserendovi una nuova riga di comando, "Explorer.exe
load.exe –dontrunold", e piazzando il
cavallo di Troia load.exe nella cartella
System di Windows. Sempre all'interno
di questa cartella il worm provvede a sovrascrivere
il file riched20.dll con una copia
di sé stesso abilitando l'attributo "invisibile".
Non soddisfatto, Nimda copia sé stesso anche
nel file mmc.exe sotto la cartella
di Windows.
CONTINUA>>
1. E' allarme sul
Net
2. Un bollettino di
guerra
3. Infezione atto I
4. Infezione atto II
5. Come scovarlo e ucciderlo
|
| Alias |
|
|
|
|
|
|
|
