 |
 |
 |
|
 |
 |
 |
|
 |
|||
|
||||||||||||||||||||||||||
| I-WORM.NIMDA |
|
||||||
Tutte le informazioni sono state raccole dall'AVP Virus Encyclopedia, da Symantec, e da Central Command. I bollettini di Microsoft sono agli indirizzi segnalati. W32/Nimda@MM è l'ennesimo worm che si propaga attraverso l'invio di email infette. Quest'ultimo però sta mietendo vittime in particolare diffondendosi attraverso le reti locali e mandando in tilt molti sistemi. Il worm, scritto in Visual C++, pesa circa 57 kb ed è un programma di Windows a 32 bit, di tipo Portable Executable. Nimba per installarsi sfrutta però, a differenza di altri (ma non è il solo!), una parte vulnerabile di Internet Explorer, eseguendo automaticamente se stesso! All'interno del codice è immancabile la firma: Concept Virus(CV) V.5, Copyright(C)2001 R.P.China COME INFETTA IL TUO PC Il canale di diffusione più potente è sempre la posta elettronica, questo worm però sfruttando le porte che IE lascia aperte si diffonde con un messaggio in formato HTML, con in allegato il file README.EXE, non sempre visibile, come spiegato in seguito. Sul sito Microsoft vi è un'ampia spiegazione della vulnerabilità di IE che permette al worm di eseguirsi automaticamente. Le versioni sotto accusa sono Microsoft IE 5.01 e IE 5.5. Il difetto sta nel procedimento di esecuzione di binary attachments quando si presenta un 'unusual MIME types'. Se infatti viene creata una email che contiene un allegato eseguibile, e viene modificato le informazioni relative al MIME specificando che l'allegato è un 'unusual MIME types' non interpretato correttamente da IE, il browser lancia automaticamente l'allegato quando viene letta l'email. Possiamo quindi trovarci di fronte a due eventualità, che l'email infetta in formato HTML sia presente sul web in una pagina la quale siamo invitati a visitare, che l'email in formato HTML ci sia direttamente inviata. Maggiori dettagli e la patch si trovano all'url: http://www.microsoft.com/technet/security/bulletin/MS01-020.asp Nel momento in cui il worm infetta il sistema copia se stesso nelle cartelle: -) di Windows (in genere \WINDOWS) con in nome mmc.exe; -) di sistema di Windows (in genere \WINDOWS\SYSTEM) con il nome riched20.dll, e con il nome load.exe; -) temporanea di Windows (in genere \WINDOWS\TEMP) con i nomi mep[nr][nr][letter][nr].TMP.exe, e mep[nr][nr][letter][nr].TMP. Tutti i file EXE creati risultano nascosti e di sistema. Il file riched20.dll è un file di sistema già esistente e vine sovrascritto. Quest'ultimo è utilizzato da programmi quali Microsoft Word, ed il worm viene eseguito ogni volta che si carica il programma. Una copia del file riched20.dll può trovarsi anche nella cartella che contiene i file DOC (in genere \DOCUMENTI). Il file load.exe viene eseguito automaticamente all'avvio del sistema, poiché il worm aggiunge al file system.ini la riga: [boot] shell=explorer.exe load.exe -dontrunold Il worm infine modifica il processo explorer.exe eseguendo così la sua routine come se appartenesse a tale processo. Il worm ora può infettare anche i file EXE sostituendoli con una copia di se stesso. COME FUNZIONA Le modalità di invio delle email da un sistema infetto è più o meno la stessa: il worm ricava gli indirizzi email scandendo i file HTM e HTML, e utilizzando i client configurati come MAPI (Mailing API) server, dal quale estrae anche l'indirizzo del server SMTP, a cui si collega direttamente per inviare le email, senza passere per il client di posta. Come già detto l'allegato è il file README.EXE, che però non è sempre visibile nell'email in formato HTML. Il corpo del messaggio e l'oggetto sono infatti generalmente vuoti, quest'ultimo può essere estratto in modo casuale da un documento personale sul nostro sistema. Il worm, come altri predecessori, utilizza il registro di sistema e va a leggere la stringa: HKEY_CURRENT_USER\Software\Microsoft\Windows \CurrentVersion\Explorer\Shell Folders\Personal Quest'ultima contiene in genere il valore C:\Documenti, cioè la cartella di default dove le principali applicazioni windows salvano i documenti. LA RETE SI COMPLICA La diffusione del worm in una rete locale è ancora più complessa, e gli permette di infettare tutte le cartelle accessibili su tutti i drive locali e remoti presenti. Nimda può creare anche migliaia di file EML (messaggi di posta elettronica) o NWS (messaggi di news) con nomi casuali in formato HTML e con il worm come allegato MIME in grado di eseguire se stesso semplicemente aprendo il messaggio, grazie a IE, come spiegato prima e ampiamente sul sito Microsoft. Il worm quindi modifica i file HTML e ASP in modo che quando vengano aperti eseguano automaticamente il worm stesso. Dopo aver trovato i principali file con le estensione HTM, HTML, e ASP (in genere file dal nome index, main), il worm crea una copia di se stesso in formato email dal nome README.EML, che viene eseguita da un codice javascript che appende in coda ai file HTML e ASP infetti, una volta che questi siano stati aperti. Una volta infettate le pagine web principali Nimda può diffondersi nei pc di chiunque le visita, sfruttando la vulnerabilità delle versioni 5.01 e 5.5 di IE. Nimda è inoltre in grado di diffondersi tramite siti web attraverso server IIS (Internet Information Services) che presetano una vulnerabilità nota con il nome di Web folder transversal vulnerability. Il worm individua questi server con una scansione su indirizzi IP, e li infetta inviando una richiesta GET, con la quale riesce ad inviare il file ADMIN.DLL con lo scopo di infettare il sistema. Il worm infine crea delle condivisioni per ogni drive locale modificando nel registro la chiave: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \CurrentVersion\Network\LanMan\[C$ -> Z$] Una volta riavviato il sistema, a seconda del sistema stesso, le condivisioni sono accessibili senza password e in lettura e scrittura. Nimda può inoltre disablitare il server proxy modificando le chiavi: HKEY_CURRENT_USER\Software\Microsoft\Windows \CurrentVersion\Internet Settings\MigrateProxy 1 HKEY_CURRENT_USER\Software\Microsoft\Windows \CurrentVersion\Internet Settings\ProxyEnable 0 HKEY_CURRENT_CONFIG\Software\Microsoft\Windows \CurrentVersion\Internet Settings\ProxyEnable 0 Maggiori dettagli per gli amministratori di rete si trovano sul sito Microsoft all'url: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/topics/Nimda.asp POSSIBILI SOLUZIONI Nonostante i problemi maggiori debbano affrontarli gli amministratori di rete, Microsoft ha rilasciato alcune patch che posso tornare utili anche a chi ha installato le versioni di IE incriminate. Patch per la vulnerabilità di Microsoft IE 5.01 e 5.5 Patch per la Web folder transversal vulnerability di Microsoft Internet Information Server 4.0 e 5.0 Tool della Symantec per controllare il tuo sistema e rimuovere Nimba Tool della Central Command Attenzione non eliminando la libreria riched20.dll si corre il rischio di riattivare il worm se si avvia un programma che la utilizza. Le istruzioni dettagliate per la rimozione sono all'url: http://www.symantec.com/avcenter/venc/data/w32.nimda.a@mm.html |
| www.davidscerrati.too.it |