Nimda

Nimda tìm tới nạn nhân qua một bức e-mail có file đính kèm readme.exe. Nếu đang sử dụng Outlook chưa cài bản sửa lỗi của Microsoft, thì chỉ cần mở bức thư là máy tính của bạn đã nhiễm virus. Nó tự nhân bản mình tới các địa chỉ e-mail lưu trong address book của máy nạn nhân. Với các chương trình quản lý thư của Eudora hay Lotus Notes của IBM, con bọ sẽ hoạt động nếu file đính kèm readme.exe (có khi núp dưới tên chương trình âm thanh hay có đuôi wav.) được kích vào.

Một khi đã thâm nhập được vào máy chủ, Nimda gắn một đoạn Javascript vào dưới tất cả các trang HTML có trong hệ thống. Chỉ cần người truy cập xem những trang này bằng một phiên bản trình duyệt Internet Explorer chưa sửa lỗi thì cũng đủ làm cho máy bị nhiễm.

    - Sau khi xâm nhập nó sẽ sao chép chính nó vào thư mục System với tên là Load.exe, đồng thời sửa đổi file riched20.dll . Nó sẽ tạo trong tất cả các thư mục 1 file tên Desktop.eml (là thư chứa file virus readme.exe)

    - Để Virus tự động chạy, nó sẽ sửa đổi system.ini trong mục boot section bằng cách thêm dòng sau: shell=explorer.exe load.exe -dontrunold

    - Trong Win NT/2000 nó sẽ thay đổi file admin.dll, các file có tên index, main, default và các file có phần mở rộng là .html, .htm, .asp

* Khi máy bị nhiễm virus, hàng loạt e-mail với tiêu đề khác nhau và nội dung rỗng sẽ tự động gửi đi.
* Gắn các file có tên INDEX, MAIN, DEFAULT với đuôi .ASP, .HTM hay .HTML với một đoạn mã JavaScript.
* Một guest account đột nhiên xuất hiện với những đặc quyền quản trị mạng.
* Xuất hiện các file C:\ADMIN.DLL, D:\ADMIN.DLL và E:\ADMIN.DLL. Xuất hiện file README.EML
* Máy của bạn có những folder chia sẻ dữ liệu (shares) mới không giải thích nổi từ đâu ra.
* Máy chạy chậm như rùa bò bởi con bọ đang cố gắng tìm những nạn nhân kế tiếp.
* Virus cũng sẽ thay đổi các Key trong Registry:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\App Paths
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\MigrateProxy 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable 0
HKEY_CURRENT_CONFIG\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable 0

Các hệ thống Nimda có thể tấn công:

* PC dùng Internet Explorer 5.01 hay IE 5.5 SP1: Windows 9.x, Windows NT, Windows Me, Windows 2000.
* Server chạy Microsoft IIS 4.0, IIS 5.0

Những công ty và cá nhân đang dùng phiên bản Windows NT hay Windows 2000 nên sớm tải về những bản sửa lỗi. Địa chỉ các bạn cần tìm tới để download chương trình sửa lỗi cho cả IIS và web browser là http://www.microsoft.com/security.

PcLeHoan 1996 - 2002
Mirror : http://www.pclehoan.com
Mirror : http://www.lehoanpc.net
Mirror : http://www.ktlehoan.com