19 กันยายน 2544 เวลา 00:00 น.
ไวรัสหนอน W32/Nimda@MM ออกอาละวาดแล้ว คุณแน่ใจหรือไม่ว่าคุณไม่โดนมันเล่นงาน?
ไวรัส W32/Nimda หรือ Concept Virus (CV) v.5 (หรือที่รู้จักกันในชื่ออื่น คือ W32/Nimda@MM, W32/Nimda.eml , W32/Nimda.htm, W32/Nimda@MM.eml, W32/Nimda@MM.htm, W32.Nimda.A@mm) เป็นไวรัสหนอน ที่สามารถติดได้ในหลายแพลตฟอร์ม ได้แก่ วินโดวส์ 9x/เอ็นที/2000/ME ที่ไม่ได้ป้องกันการเข้าถึง (unprotected) ไว้
ไวรัสที่ร้ายกาจตัวนี้จะแพร่กระจายผ่านทางอีเมล์ โดยฝังตัวไปกับอีเมล์ในรูปแบบของ MIME ซึ่งมีส่วนประกอบ 2 ส่วน ส่วนแรก คือ text/html MIME ซึ่งจะไม่มีตัวอักษรใดๆ ทำให้อีเมล์ที่ได้รับมีลักษณะเป็นเมล์เปล่า ส่วนที่สองเป็น audio/x-wav ซึ่งบรรจุไฟล์ readme.exe ซึ่งเป็นไบนารี่ไฟล์ที่สามารถรันได้
ไวรัสจะส่งไฟล์เข้าไปอยู่ในโฟลเดอร์ที่แชร์ไว้ โดยจะเป็นไฟล์ที่มีชื่อต่างๆ กันไป และอาจแสดงตัวโดยใช้ไอคอนของไมโครซอท์เอาต์ลุก นอกจากนี้ยังสามารถแพร่กระจายได้อีกหลายวิธี ซึ่งสามารถสรุปวิธีการแพร่กระจายของไวรัสตัวนี้ ได้ดังนี้
# แพร่กระจายจาก client ไปยัง client โดยผ่านทางอี-เมล์
# แพร่กระจายจาก client ไปยัง client โดยผ่านทาง network shares
# แพร่กระจายจาก web server (ที่ถูก compromised) ไปยัง client โดยผ่านทาง web browser
# client ไปยัง web server ( IIS 4.0/5.0 directory traversal vulnerability VU #11677)
# จาก client ไปยัง web server ผ่านทาง backdoor ที่เปิดไว้โดย Code Red II และ Sadmind/IIS worm
สำหรับเนื้อหาในอีเมล์ที่ส่งโดย Nimda มีลักษณะดังนี้
# ตัวอักษรที่ปรากฎที่ subject จะเป็นคำที่ไม่แน่นอน ส่วนใหญ่จะมีความยาวมากกว่า 80 ตัวอักษร
# ไฟล์ attachment ที่ถูกส่งมาด้วยนั้นจะมีขนาด 57344 bytes
ความเสียหายที่เกิดจากไวรัสนี้
ไวรัสตัวนี้ จะพยายามมองหาไดรฟ์ C: ที่แชร์ไว้ หรือช่องทงอื่นที่เปิดไว้โดย Code Red แล้วมันจะพยายามแพร่กระจายตัวเองไปยังโฟลเดอร์ต่างๆ โดยจะทำงานดังนี้
# ไวรัสหนอนจะสร้างไฟล์อีเมล์แมสเซส ที่อาจจะแนบไฟล์ audio/x-wav มาด้วย เมื่อไฟล์อีเมล์แมสเซสที่แนบกับเมล์ถูกเรียกขึ้นมาทำงาน ไวรัสที่มาด้วยจะทำงานทันที แม้ว่าเราจะไม่ได้เรียกใช้งานก็ตาม
# ไวรัสหนอนจะแทรกโค้ดจาวาสคริปต์ดังนี้
<script language="JavaScript">
window.open("readme.eml", null, "resizable=no,top=6000,left=6000")
</script>
เข้าไปยังไฟล์ HTML ซึ่งเป็นสคริปต์ที่สั่งให้เปิดเบราเซอร์ใหม่ที่บรรจุตัวอีเมล์แมสเซสที่ติด ไวรัสไว้ (เป็นไฟล์ที่เอามาจากไฟล์ README.EML) เมื่อเบราเซอร์นี้ถูกเรียก (ทั้งที่เรียกจาก local และ remote) เครื่องที่เรียกดูเว็บเพจนี้ก็จะติดไวรัส
เมื่อเครื่องติดไวรัส Nimda แล้ว มันจะพยายามส่งอีเมล์ไปยังทุกอีเมล์แอดเดรสที่พบในแอดเดรสบุ๊ก นอกจากนี้ มันจะพยายามสแกนหา IIS server ที่มีช่องโหว่ ดังนี้
# เครื่องที่ถูก compromised โดย Code Red II และ sadmind/IIS worm มาก่อนแล้ว ซึ่งเครื่องเหล่านั้นจะมี backdoor ทิ้งไว้
# เครื่องที่มีช่องโหว่ของ IIS directory traversal
เพื่อ copy ตัวมันเอง (ใช้ชื่อว่า README.EML) ไปยังทุกๆ directory ที่ write ได้ รวมทั้ง network share ด้วย ทำให้เครื่องอื่นๆ ติดไวรัส การสแกนหาเครื่องอื่นในระบบเช่นนี้ เป็นสาเหตุให้เกิด traffic jam ในเครือข่าย
นอกจากนี้ มันจะสร้างคำสั่ง Shell=explorer.exe load.exe -dontrunold ในไฟล์ SYSTEM.INI เพื่อสั่งให้โหลดไวรัสหนอนเมื่อเปิดเครื่อง ซึ่งไฟล์อีเมล์จะถูกสร้างในโฟลเดอร์ต่างๆ ที่มันหาเจอ (หรือที่พบบ่อยๆ เช่น README.EML และไฟล์ .NWS ได้ด้วย) ส่วนไฟล์ที่แนบไปด้วย ไวรัสหนอนจะเลือกจากไฟล์ที่เป็น executable files และไฟล์อื่นๆ
การป้องกันและการกำจัดไวรัส
# สำหรับเครื่องที่ Share Network ไว้ ยกเลิก Share Full ไว้ทั้งหมดก่อน
# เข้าไปดาว์นโหลด file “SDAT4160.exe” สำหรับ Mcafee และ Nortan Antivirus file 53977 ที่ ZDNetThailand.com
Http://virus.zdnetthailand.com ตรงหัวข้อไฟล์ป้องกันล่าสุด
# ดึงสาย Lan ออกก่อน แล้วค้นหาไฟล์ โดย find คำว่า *.eml และ *.nws ลบไฟล์ที่มีสกุลเป็น *.eml และ *.nws และ สั่ง Scan ไวรัสใหม่อีกครั้ง
