W32/Nimda.A@mm (alias Nimda) je opasan mass-mailing crv koji se pokrece automatski kad se email poruka pogleda kroz preview pane. Siri se putem email koristeci ranjivost u Internet Explorer 5 i email klijentima Outlook i Outlook Express. Ranjivost je otkrio Juan Carlos García Cuartango.
Ranjivost ima dve glavne karakteristike: s jedne strane koristi HTML code, koji generise frame. S druge strane koristi prikaceni fajl kodiran u Base64, markiran kao audio/x-wav. Zajedno ovo uspeva da prevari Internet Explorer komponentu koja nudi browser mogucnosti Microsoftovim email klijentima. U stvari, crv se pretvara da je audio fajl koji se automatski pokrece kad se poruka otvori.
Nacin infekcije
Do infekcije dolazi kad korisnik otvori poruku ili kad je pogleda kroz preview pane. Razlog za to je cinjenica da email program misli da se radi o audio fajlu koji treba odmah pokrenuti. Dalje, crv salje sam sebe kroz putem email-a time sto stvara konekciju ka Internetu kroz SMTP komande. Da bi dosao do email adresa na inficiranom racunaru, loguje se na email sistem kroz SimpleMAPI i tako pregleda sve poruke trazeci email adrese.
Zanimljivo je da se u telu poruke nalazi sledeci tekst, koji ukazuje na moguce poreklo crva: 'Concept Virus(CV) V.5, Copyright(C)2001 R.P.China'.
Kad se korisnik inficira kroz primljenu poruku, ukoliko je OS racunara Windows 9x, virus se kopira u WindowsSystem folder pod imenom LOAD.EXE. Dodatno, crv modifikuje SYSTEM.INI dodajuci Shell=explorer.exe load.exe -dontrunold kako bi bio siguran da se pokrece svaki put kad se pokrene sistem.
Ukoliko je inficiran Windows NT ili Windows 2000, crv pravi fajl LOAD.EXE u WinntSystem32 direktorijumu. Posle kreira user-a pod imenom guest i ubacuje ga u grupu lokalnih administratora. Nakon toga se loguje kao taj user i dozvoljava razmenu drajva C kao C$.
|