Назад

Нимда

 

 

 

 

 

 

 

 

 

 

Громко прозвучало в 2001 году имя интеренет-червя Нимда. Распространяется он во вложенных файлах электронной почты под видом файла «README.EXE». Запуск этого происходит из-за бреши в системе безопасности «Internet Explorer».
Размер вируса около 57 килобайт, написан на языке программирования «Microsoft C++».
После внедрения в систему червь делает свои копии в директории Windows под именем MMC.EXE, RICHED20.DLL, уничтожая оригинальный файл RICHED20.DLL, поставки Windows и под именем LOAD.EXE, которые записываются с атрибутами «системный» и «скрытый».
При этом файл «Load.exe» регистрируется в файле «SYSTEM.INI».
Для распространения "Nimda" использует процесс «EXPLORER.EXE».
Для распространения по электронной почте червь находит адреса почтовых ящиков в «MS Exchange» или в файлах «html» и сам создает письмо формата «html» с вложенным файлом «README.EXE». Для передачи используется MAPI-функции и считанные ящики «MS Exchange».
В текст письма может быть выбран кусок из файла из папки "Мои Документы" текущего компьютера.
По локальной сети Нимда распространяется путем сканирования локальных и сетевых дисков и записи на них файлов с расширением «EML» c внедренной JavaScript-программой для их загрузки при наличии бреши Интернет обозревателя. Это стандартные расширения для писем электронной почты. Таким образом, имя, которое Нимда предпочитает для своих писем: «README.EML»
При просмотре такой страницы JavaScript-программа загружает README.EML и компьютер заражается червем. Вследствие этого червь заражает существующие сайты, а также попадает на компьютеры посетителей сайтов.
Для заражения удаленных Интернет серверов используется команда «tftp» для передачи своей копии файла «ADMIN.DLL»
Поэтому отсюда вывод: вовремя обновляйся программное обеспечение, в том числе Интернет обозреватель.

 


 

Назад

 

 

 

 

 

 

 

 

 

 

 

Copyright © blockfer.ru