За полтора месяца с момента обнаружения "Nimda" 18 сентября 2001 г. "Лаборатория Касперского" зарегистрировала появление пяти модификаций данного сетевого червя. К счастью, ни одной из них еще не удалось вызвать глобальную эпидемию, подобную первоначальной. Несмотря на это, мы рекомендуем...
За полтора месяца с момента обнаружения "Nimda" 18 сентября 2001 г. "Лаборатория Касперского" зарегистрировала появление пяти модификаций данного сетевого червя. К счастью, ни одной из них еще не удалось вызвать глобальную эпидемию, подобную первоначальной. Несмотря на это, мы рекомендуем ознакомиться с описаниями этих модификаций и срочно обновить базу данных Антивируса Касперского для успешного отражения их атак.
Nimda.a
Оригинальный вариант червя, обнаруженный 18 сентября 2001 г.
Проникает на компьютер несколькими путями.
Во-первых, через электронную почту. На целевой компьютер доставляется зараженное письмо в формате HTML, содержащее ряд внедренных объектов. При просмотре письма один из этих объектов (файл README.EXE, около 57Кб) автоматически запускается без ведома пользователя. Для этого червь использует брешь в системе безопасности Internet Explorer, которая была обнаружена в марте 2001 г.
Во-вторых, при посещении зараженных Web-сайтов. Вместо оригинальной страницы посетителю показывается ее модифицированная версия, содержащая вредоносную Java-программу. Эта программа загружает и запускает на удаленном компьютере копию "Nimda", используя упомянутую выше брешь в защите Internet Explorer. В-третьих, через ресурсы локальной сети. Червь сканирует все доступные сетевые ресурсы и записывает туда тысячи своих копий. Расчет сделан на то, что пользователь, нашедший непонятный файл на своем диске или на сервере запустит его и собственноручно заразит компьютер.
В-четвертых, "Nimda" также проникает на Web-серверы под управлением системы Microsoft Internet Information Server (IIS). Для этого червь использует брешь в защите IIS "Web Server Folder Traversal", описанная в соответствующем бюллетене Microsoft.
Nimda.b
Почти точная копия первоначальной версии червя ("Nimda.a"), упакованной компрессором PCShrink (упаковщик выполняемых файлов Win32). В коде червя имена файлов "README.EXE" и "README.EML" заменены соответственно на "PUTA!!.SCR" и "PUTA!!.EML".
Nimda.c
Является точной копией первоначальной версией червя, упакованной компрессором UPX.
Nimda.d
В отличие от "Nimda.a" в теле червя изменена строка-"копирайт" на "HoloCaust Virus.! V.5.2 by Stephan Fernandez.Spain". Упакован компрессором PECompact, так что размер файла-носителя червя уменьшился до 27Кб.
Nimda.e
Незначительные изменения в коде червя: некоторые процедуры вредоносной программы подправлены или оптимизированы). Был обнаружен в "диком" виде в конце октября 2001.
"Видимыми" отличиями от первоначальной версии червя являются следующие изменения:
Имя файла-вложения: SAMPLE.EXE (вместо README.EXE)
Имя DLL-библиотек: HTTPODBC.DLL или COOL.DLL (вместо ADMIN.DLL)
Строка-"копирайт" в этой версии выглядит следующим образом :"Concept Virus(CV) V.6, Copyright(C)2001, (This's CV, No Nimda.)"
Более подробное описание "Nimda" доступно в "Вирусной Энциклопедии Касперского".
Процедуры защиты от всех известных модификаций сетевого червя уже добавлены в базу данных Антивируса Касперского.
