请输入您要查询的百科知识:

 

词条 Win32.Nimda.A
释义

简介

病毒名称:Win32.Nimda.A

其它名称:W32/Nimda.A@mm,尼姆达

病毒属性:文件型病毒 危害性:中等危害 流行程度:高

具体介绍:

Win32.Nimda(又名W32/Nimda@MM)是一种利用已知Internet Explorer和IIS系统的漏洞来进行传播的Internet 蠕虫。它也象文件型病毒那样可以感染Win32可执行文件和以html, htm, asp 为扩展名的文件。

蠕虫可能通过如下方式进入系统:

通过一个特定MIME 头的HTML 邮件;

通过浏览一个已受感染系统的WEB站点;

通过打开网络共享;

通过一个未打补丁的 IIS 系统 ( 4.0 和 5.0).

当用户浏览一个携带有蠕虫的HTML邮件,或访问一个被感染的WEB站点,Internet Explorer 会下载一个执行Nimda.A 代码的附件程序( readme.exe )。这种情况的产生是因为微软Internet Explorer 5.01 和 5.5中的"Incorrect MIME Header"弱点。这个安全漏洞的详细描述和相应补丁可参见:

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-020.asp对于运行IIS的系统,蠕虫可能利用如下HTTP安全漏洞: Microsoft IIS 4.0/5.0文件许可规范漏洞( File Permission Canonicalization Vulnerability )

Microsoft IIS/PWS 字符逃离解码命令执行漏洞(Escaped Characters Decoding Command Execution Vulnerability )

Microsoft IIS 和 PWS 扩展统一编码目录可通过漏洞(Extended Unicode Directory Traversal Vulnerability )

蠕虫通过任意选择的IP地址查找有漏洞的Internet 服务器。这个地址的产生和进行的扫描是由一个名为mmc.exe 的进程来执行的(mmc.exe 文件被蠕虫本身的副本所覆盖)。当mmc.exe 进程执行的时候,Win NT/2000用户可能会明显感到系统性能变慢。此外,蠕虫会把自身复制为Admin.dll 文件到所有驱动器的根目录。(蠕虫会把Admin.dll 标记为真的DLL文件)

当蠕虫连接到受害机器的后,会搜索所有目录并通过在文件中加入一行JavaScript 代码来感染htm, asp 和 html文件 。在感染成功的每一个目录中,蠕虫都会生成含有它自身MIME 代码格式的文件readme.eml 或 readme.nws。当一个受感染的htm* 或 asp文件被打开后蠕虫将在这些MIME文件中被执行。此外,蠕虫病毒还会生成许多*.eml的文件.

蠕虫会感染Win32可执行文件(Winzip32.exe 文件除外),并让这些受感染的程序使用原来的图标。

在感染的 Win9x 系统上,蠕虫为了在下一次能被执行,会复制自身为load.exe 文件到Windows 的系统目录下,并修改system.ini 文件:

Shell=explorer.exe load.exe -dontrunold

Nimda.A也会以一个合法的文件名riched20.dll复制自身到含有.DOC文件的目录中。

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2024/12/23 19:45:40