Новый червь W32/Nimda-A (также известен, как Nimda, Minda, Concept V, Code Rainbow, ╚рабочее имя╩ ≈ W32/Nimda-a@mm) проявил активность 18 сентября 2001 года. Он пытается распространяться тремя способами: как почтовое вложение, файл на зараженном веб-сервере, или через уязвимости IIS. Червем были выведены из строя (DoS) даже некоторые серверы Apache.
При распространении по e-mail червь приходит в письме с вложенным файлом readme.exe. Это письмо составлено так, чтобы воспользоваться дыркой в старых версиях Internet Explorer. Outlook и Outlook Express используют его для отображения текста писем.
После заражения, червь рассылает копии себя другим потенциальным жертвам, и начинает поиск уязвимых серверов IIS. При поиске используется юникод-баг. Также червь пытается использовать root.exe, бэкдор, оставляемый Code Red II. После нахождения уязвимого сервера червь устанавливает свою копию так, чтобы посетители зараженного веб-узла получили специальный .eml-файл, это, как было сказано выше, может привести к заражению компьютера (в случае, если жертва использует уязвимую версию IE).
Червь шл╦т следующие запросы:
/scripts/..\..
/_vti_bin/..\../..\../..\..
/_mem_bin/..\../..\../..\..
/msadc/..\../..\../..\/..Б../..Б../..%
/scripts/..Б..
/scripts/..А/..
/scripts/..А╞..
/scripts/..Б°..
/scripts/..\..
/scripts/..\..
/scripts/..\..
/scripts/../..
Ко всем этим строкам добавляется строка /winnt/system32/cmd.exe?/c+dir
Кроме того, запрашиваются следующие файлы:
/scripts/root.exe?/c+dir
/MSADC/root.exe?/c+dir
Ссылки администраторам:
Bugtraq ID: 2524 / CVE ID: CAN-2001-0154
Microsoft Security Bulletin MS01-020
Bugtraq ID: 2708 / CVE ID: CAN-2001-0333
Microsoft Security Bulletin MS01-026
Bugtraq ID: 1806 / CVE ID: CVE-2000-0884
Microsoft Security Bulletin MS00-078
Microsoft IIS Lockdown Tool
Автор: Dave Ahmad
Источник: SecurityFocus
by ShooTer╝,2001