Nimda神出鬼沒　徹底清除不容易

| | | | | | 留下回應

    

網路防護公司Neohapsis資深研究顧問Mike Scher表示，「你好不容易將企業網路的一部份清除乾淨，一會兒它又回來了，好像在救森林大火一樣，」他指出，許多企業的網路本身已將Nimda阻擋在外，但在家辦公的員工上網，病毒又跟著回來，一下子又蔓延整個網路。

微軟已在網站上公佈修補程式和防毒方法。

透過企業網路中的共享磁碟，Nimda在一處清除，馬上又在另一處出現，並重新感染原來的磁碟。

由於Nimda蔓延速度太快，從爆發到釀災只需六個小時，導致對該蟲的準確分析無法即時出爐。

安全人員表示，許多中小企業IT人員不足，無法全天候看護，是最易遭受攻擊的對象。

Nimda又名Readme.exe或W32.Nimda，能同時感染Windows 98、Windows Me、Windows 2000的PC和跑Windows 2000的伺服器，傳播途徑也令防毒專家大傷腦筋。

首先，除了共享網路的途徑外，對於曾遭受「紅色警戒」感染的伺服器，Nimda使用該病毒造成的後門，複製自身進到伺服器，並改名為「admin.dll」，而沒有被感染過的伺服器，則利用「web server folder traversal」漏洞，以複製自己到該伺服器上。

一但進入電腦中，Nimda(其名取字system administrator縮寫admin的倒寫)即開始自動執行，並感染其他電腦。首先它以系統管理員的權限開一個「guest」使用帳號，並複製到同網路中其他磁碟，使其門戶洞開，然後加入程式碼到HTM、HTML、ASP檔案中。然後等待具有Java Script功能的瀏覽器上門，伺機下載到使用者電腦中。Nimda會刪除registry中的安全設定鍵，使其加入到「啟動」，等待開機時執行。

第三個方法是透過網頁瀏覽感染。中毒伺服器網頁中的Java Script程式碼片段會將已重新命名為「readme.eml」的Nimda下載到瀏覽者的電腦。如果網友使用的是沒有修補程式的IE 5.5 SP1或之前版本的瀏覽器，該蟲會自動執行，而透過具有Java Script功能的瀏覽器下載該程式碼之前，會先詢問使用者的同意。

透過電子郵件，傳染給地址簿中的所有名單，則是第四步。但Nimda也會感染儲存在瀏覽器暫存資料夾的網頁中的電子郵件名單。

中毒電子郵件是以WAV附件檔，但實際上是使用MIME的漏洞來自動執行。收信者只要預覽，即會自動執行。即使使用者的網路安全沒有問題，該附檔也會在Outlook或Outlook Express下，以對話框要求使用者允許打開檔案。

Nimda還會在Windows System目錄下增加「load.exe」檔案，附加到.exe、.eml及word文件檔之下，置換掉WordPad、WinZip32和HyperTerminal等應用程式，以執行該蟲的程式取代之。

此外，Nimda還會取代掉經常會用到的「Riched20.dll」，這是Word、WordPad及其他編輯程式重要的文字編輯程式，只要一執行Riched20.dll，Nimda也會執行。

更糟的是，先前肆虐的「紅色警戒」又有藉變種死灰復燃的跡象，這使得Nimda威脅會持續存在。只要網路上還有沒有修補程式的電腦，Nimda就會成為揮之不去的夢魘。(鍾翠玲摘譯)