词条 | Win32.Nimda.A |
释义 | 简介病毒名称:Win32.Nimda.A 其它名称:W32/Nimda.A@mm,尼姆达 病毒属性:文件型病毒 危害性:中等危害 流行程度:高 具体介绍:Win32.Nimda(又名W32/Nimda@MM)是一种利用已知Internet Explorer和IIS系统的漏洞来进行传播的Internet 蠕虫。它也象文件型病毒那样可以感染Win32可执行文件和以html, htm, asp 为扩展名的文件。 蠕虫可能通过如下方式进入系统:通过一个特定MIME 头的HTML 邮件; 通过浏览一个已受感染系统的WEB站点; 通过打开网络共享; 通过一个未打补丁的 IIS 系统 ( 4.0 和 5.0). 当用户浏览一个携带有蠕虫的HTML邮件,或访问一个被感染的WEB站点,Internet Explorer 会下载一个执行Nimda.A 代码的附件程序( readme.exe )。这种情况的产生是因为微软Internet Explorer 5.01 和 5.5中的"Incorrect MIME Header"弱点。这个安全漏洞的详细描述和相应补丁可参见: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-020.asp对于运行IIS的系统,蠕虫可能利用如下HTTP安全漏洞: Microsoft IIS 4.0/5.0文件许可规范漏洞( File Permission Canonicalization Vulnerability ) Microsoft IIS/PWS 字符逃离解码命令执行漏洞(Escaped Characters Decoding Command Execution Vulnerability ) Microsoft IIS 和 PWS 扩展统一编码目录可通过漏洞(Extended Unicode Directory Traversal Vulnerability ) 蠕虫通过任意选择的IP地址查找有漏洞的Internet 服务器。这个地址的产生和进行的扫描是由一个名为mmc.exe 的进程来执行的(mmc.exe 文件被蠕虫本身的副本所覆盖)。当mmc.exe 进程执行的时候,Win NT/2000用户可能会明显感到系统性能变慢。此外,蠕虫会把自身复制为Admin.dll 文件到所有驱动器的根目录。(蠕虫会把Admin.dll 标记为真的DLL文件) 当蠕虫连接到受害机器的后,会搜索所有目录并通过在文件中加入一行JavaScript 代码来感染htm, asp 和 html文件 。在感染成功的每一个目录中,蠕虫都会生成含有它自身MIME 代码格式的文件readme.eml 或 readme.nws。当一个受感染的htm* 或 asp文件被打开后蠕虫将在这些MIME文件中被执行。此外,蠕虫病毒还会生成许多*.eml的文件. 蠕虫会感染Win32可执行文件(Winzip32.exe 文件除外),并让这些受感染的程序使用原来的图标。 在感染的 Win9x 系统上,蠕虫为了在下一次能被执行,会复制自身为load.exe 文件到Windows 的系统目录下,并修改system.ini 文件: Shell=explorer.exe load.exe -dontrunold Nimda.A也会以一个合法的文件名riched20.dll复制自身到含有.DOC文件的目录中。 |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。