Net-Worm.Win32.Nimda (Kaspersky Lab)
は以下の名称でも知られています:
I-Worm.Nimda (Kaspersky Lab),
Exploit-MIME.gen.exe (McAfee), W32.Nimda.enc (Symantec), Trojan.IframeExec (Doctor Web), W32/Nimda-A (Sophos), HTML/IFrame_Exploit* (RAV), Archive Contains Infected Items (Trend Micro), W32/Nimda.eml (H+BEDV), Win32:Nimda (ALWIL), I-Worm/Nimda (Grisoft), Win32.Nimda.A@mm (SOFTWIN), W32.Nimda.eml (ClamAV), Exploit/iFrame (Panda), Win32/Nimda.A (Eset)
これは、感染させられたEメールに添付されてインターネット経由で広がり、ローカルネットワークで共有ディレクトリにそれ自身をコピーし、また、脆弱性の IIS PC(ウェブサイト)を攻撃するワームです。ワームは、C++ で書かれた、サイズがおよそ57KBの Windows PE EXE ファイルです。
ワームは、感染されたメッセージから実行されるために、セキュリティの脆弱性を搾取します。ワームは、その時、システムにそれ自身をインストールして、拡散ルーチンを実行して感染します。
ワームは、下記の「copyright」テキスト文字列を含みます。
Concept Virus(CV) V.5, Copyright(C)2001 R.P.China
インストール
ワームは、インストールしている間に、ウインドウズディレクトリに "MMC.EXE" の名前でそれ自身をコピーして、ウインドウズシステムディレクトリに "RICHED20.DLL" (オリジナルのウインドウズ "RICHED20.DLL" ファイルは、上書きされます。)と "LOAD.EXE" の名前でコピーします。
最後の1つは、その時、"SYSTEM.INI" ファイルの「auto-run」セクションに登録されます。
[boot]
shell=explorer.exe load.exe -dontrunold
ワームは、また、テンポラリーディレクトリに、ランダムな "MEP*.TMP" と "MA*.TMP.EXE" の名前でそれ自身をコピーします。
mep01A2.TMP
mep1A0.TMP.exe
mepE002.TMP.exe
mepE003.TMP.exe
mepE004.TMP
EXE ファイルは、"LOAD.EXE" ファイル(上記参照)と同様に、隠れ属性とシステム属性を持ちます。
ワームは、その時、その拡散ルーチンと感染ルーチンを実行します。ワームは、ウインドウズのバージョンに依存して、"EXLORER.EXE" のプロセスに影響を及ぼして、「EXPLORER」のバックグラウンドプロセス(スレッド)としてそのルーチンを実行するかも知れません。
Eメール経由での感染
ワームは、感染させられたメッセージを送るために、SMTP プロトコルを使ってホストPCに接続して、犠牲アドレスにそのコピーを送ります。
ワームは、犠牲Eメールアドレスを得るために、2つの方法を使います。
- *.HTM と *.HTML ファイルを検索して、Eメールのような文字列を捜します。
- MAPI を使って、MS Exchange のEメールボックスに接続して、そこからEメールアドレスを得ます。
感染させられたメッセージは、HTML フォーマットです。
Subject: empty or random
Body: empty
Attach: README.EXE
件名は、フォルダから無作為に選ばれたファイル名が選ばれます。
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Personal
通常、これは、「My Documents」あるいはCドライブでランダムに選ばれたファイルです。
ワームは、感染させられたメッセージから広がるために、下記に述べる「IFRAME」の脆弱性を使います。
ワームは、マイクロソフト・セキュリティ情報「MS01-020」に説明されている「不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する」の脆弱性を使います。
ローカルネットワーク経由での感染
ワームは、3つの異なる方法でローカルと共有を検索して、これらの全てのアクセス可能なディレクトリに感染します。
ワームは、感染させている間に、2つの異なる方法を使います。
- それは、.EML(当時の95%)あるいは .NWS(5%)のファイルをランダムに選ばれた名前で作成します。結果、これらの EML と NWS のファイルは、感染させられたPC(ローカルネットワークで)のあらゆる所に存在し、数千存在するかも知れません。これらのファイルは、Eメールのフォームにワームのコピーを含みます。
Eメールのフォームは、MIME 形式のワームのコピーを伴う HTML Eメールメッセージで、上記で述べた IFRAME の脆弱性を伴います。このメッセージは、オープンされると、直ちに脆弱性のPCを感染させます。
- ワームは、ファイル名+拡張子の組み合わせを捜します。
*DEFAULT* , *INDEX* , *MAIN* , *README* + .HTML, .HTM, .ASP
(*NAME* は、ファイル名のサブ文字列かも知れません。)
ワームは、このようなファイルが見つけられる場合には、それらに "README.EML" の名前でEメールのフォームにそれ自身をコピーして、犠牲 HTM/ASP ファイルに JavaScript プログラムを追加します。HTML/ASP ファイルがオープンされる時に、"README.EML" ファイルがオープンされ、結果としてワームが実行されます。
結果、ワームは、ウェブページを感染させて、これらのウェブサイトを訪れるPCに広がるかも知れません。
IIS 攻撃による拡散
ワームは、犠牲PCにそのファイルをアップロードするために、"tftp" コマンドを使い、感染された(現在の)PCで犠牲(リモート)PCから {"BlueCode":IISWorm_BlueCode} IIS ワームと同じ方法で "fet data" コマンドを処理するためにテンポラリー TFTP サーバを実行します。
犠牲PCにアップロードされるファイル名は、"ADMIN.DLL" です。
感染状況
感染ルーチンは、アドミニストレーターユーザグループに「ゲスト」ユーザを追加します。(結果として、「ゲスト」ユーザは、感染させられたPCへの完全なアクセス権を持ちます。)
ワームは、また、共有する全てのローカルドライブをオープンします。
「Nimda」ワームには、幾つかの亜種があります。
それらの全ては、オリジナルにとても似ており、それらの殆どは、オリジナルワームの修正バージョンです。ワームの本体のテキスト文字列は、他の文字列で置き換えられます。
Nimda.b
これは、オリジナル「Nimda" worm」ワームですが、PCShrink Win32 PE EXE ファイル圧縮プログラムによって圧縮されています。文字列は、:
README.EXE , README.EML
下記で、置き換えられます。
PUTA!!.SCR , PUTA!!.EML
Nimda.c
これは、オリジナル「Nimda" worm」ワームを UPX ファイル圧縮プログラムによって圧縮したものです。
Nimda.d
このワームの亜種は、2001年10月の終わりにインターネットにメールされました。それは、圧縮された(PECompact ファイル圧縮プログラム)サイズが27KBのフォームで広がりました。
オリジナルのワームとの違いは、下記のテキストを持つこのバージョンにパッチされた「copyright」のテキストです。
HoloCaust Virus.! V.5.2 by Stephan Fernandez.Spain
Nimda.e
これは、再コンパイルされた「Nimda」の亜種です。それらは、わずかに修正するか最適化された幾つかのマイナールーチンがあります。この亜種は、2001年10月の終わりに「in the wild」で見つけられました。
オリジナルのワームバージョンからの目に見える違いは:
添付ファイル名:
SAMPLE.EXE (README.EXE の代わり)
DLL ファイル:
HTTPODBC.DLL と COOL.DLL (ADMIN.DLL の代わり)
「copyright」のテキストは、下記のように置き換えられます。
Concept Virus(CV) V.6, Copyright(C)2001, (This's CV, No Nimda.)
