21 Mart 2010 Pazar 5:7:26
  Ana Sayfa
  Haberler
  Finans
  Oyun
  Astroloji
  Mizah
  Sinema
  Sağlık
  Alışveriş
 
  Webmail
  Yeni Üye Kaydı
  Üye Bilgileri
  Hizmetlerimiz
  Teknik Destek
  Anket
  Bağlantı Programı
  Bağlantı Numaraları

NIMDA

Virüs tipi: Solucan(WORM)

Yeni virüs: Nimda hızla yayılıyor.
Risk Tipi: Yüksek
Etkilenen sistemler:Microsoft Windows 95, 98, ME, NT, and 2000

Lütfen buraya tıklayıp nimda virüsünü kontrol eden programı indiriniz...

CERT/CC 'W32/Nimda worm' veya 'Concept Virus (CV) v.5.' olarak bilinen yeni bir kötü amaçli kod hakkinda raporlar almaya basladi. Bu truva solucani yayilmak için çesitli metodlar kullaniyor:

    * eposta ile istemciden istemciye
    * açik ag paylasimlari ile istemciden istemciye
    * etkilenmis web sitelerini görüntüleme ile web sunucudan istemciye
    * 'Microsoft IIS 4.0 / 5.0 directory traversal' güvenlik açigi tarayip kullanarak istemciden web sunucuya
    * Code Red II veya sadmind/IIS solucanlari tarafindan birakilan arka kapilari tarayarak istemciden web sunucuya
Ilk analizlere göre solucanin web içerigini degistirip kendi yayilmasini gerçeklestirmek disinda bir zarar verici özelligi yok. CERT/CC ayrica ag tarama ve eposta yayilma islemleri sonucunda olusan DoS (denial of service) tehditi ile ilgilide raporlar aldi. Nimda solucani hem Windows 95, 98, ME, NT, veya 2000 çalistiran kullanici isistasyonlari (istemciler) için hemde Windows NT ve 2000 çalistiran sunucular için bir tehdit olusturuyor.


Eposta ile yayilma
Bu solucan iki bölümden olusan bir MIME 'multipart/alternative' mesaj ile eposta yoluyla yayiliyor. ilk bölüm MIME tipi 'text/html' olarak tanimlanmis fakat text içermiyor ve bu sebeple epostanin içerigi yok gibi görünüyor. ikinci bölüm MIME tipi 'audio/x-wav' olarak tanimlanmis fakat 'readme.exe' isminde base64-encoded çalistirilabilir bir ek dosya içeriyor. CA-2001-06.html da tanimlanan (Automatic Execution of Embedded MIME Types) güvenlik açigina göre HTML postayi görüntülemek için Microsoft Internet Explorer 5.5 SP1 veya öncesini (IE 5.01 SP2 hariç) kullanan X86 platform üzerinde çalisan her posta yazilimi ilisikteki ek dosyayi otomatik olarak çalistiriyor ve sonuç olarak makineye solucani bulastiriyor. Böylece, etkilenen konfigürasyonlarda, solucanin aktif olmasi sadece bu eposta mesajini açmakla (veya önizleme yapmakla) saglanabiliyor. Aktif hale geçmesi çalistirilabilir bir dosya olan ek dosyayi çalistirmaklada mümkün.

Nimda solucanini gönderen eposta mesajinin ayni zamanda asagidaki karakteristiklere sahip oldugu gözlemlendi: Mesajin konu basligindaki yazi bir degisken gibi görünüyor fakat simdiye kadar görülenler 80 karakterin üzerinde. Ekteki çalistirilabilir dosyanin çok çesitleri oldugu görülüyor ve farkli mesajlardaki farkli ek dosyalarin farkli MD5 checksum larinin olmasina sebep oluyor. Fakat, ek dosyanin boyutu sabit olarak 57344 byte oluyor.


Islevleri

Etkilenen istemci makineleri Nimda solucaninin kopyalarini windows adres defterinde bulunan herkese eposta ile gönderiyor. Ayni zamanda, istemci makineler etkilenen IIS sunucularini aramaya basliyorlar. Nimda önceki IIS solucanlari Code Red II ve sadmind/IIS solucani tarafindan birakilan arkakapilari (backdoor) ariyor. Ayrica IIS dizin atlama/geçme (directory traversal) açigini deniyor. Potansiyel hedef IP adresleri asagidaki tahmine göre seçiliyor:

zamanin %50 si, ilk iki octet`i ayni olan adresler
zamanin %25`i, ilk octet`i ayni olan adresler
zamanin %25`i rastgele bir adres seçiliyor.


Etkilenen istemci makine tarayip buldugu etkilenen sunucuya Nimda kodunun bir kopyasini transfer ediyor. Sunucu makinede çalistiginda solucan sistemdeki (dosya paylasimlari ile erisilebilenler dahil) tüm dizinleri geçiyor ve kendisinin bir kopyasini diske 'README.EML' ismi ile kaydediyor. Web içerikli bir dizin (ör. HTML veya ASP dosyalari) buldugunda, söz konusu dosyalarin hepsine asagidaki Javascript kodunu ekliyor:

-----------

Sisteminizi http://housecall.olympos.org adresinde online virüs taramasindan geçirebilirsiniz. -----------

Bu web içerigi degistirme web browser ile veya ag dosya sistemine gözatma ile yeni istemcilere de yayilabiliyor.

Browser ile yayilma

Bulasma isleminin bir parçasi olarak Nimda solucani buldugu tüm web içeriklerini degistiriyor. Ve bunun sonucunda sistemdeki web içerigine bir web tarayici ile yada dosya sistemi ile gözatan her kullanici solucanin bir kopyasini edinmis oluyor. Bazi tarayicilar indirilen kopyayi otomatik olarak çalistirabilir ve böylece etkilenebilir.

Dosya sistemi ile yayilma

Nimda solucani (README.EML ismini kullanarak) kullanicinin erisim izni olan tüm yazilabilir dizinlerde kendisinin pek çok kopyasini yaratiyor. Baska bir sistemdeki kullanici paylasilan bir ag sürücüsünde solucanin kopyasini önizleme seçenegi aktif olan bir Windows Explorer ile seçerse, solucan o sistemide etkiliyor.

Sistem izleri

Nimda solucaninin tarama aktivitesi port 80`i dinleyen tüm web sunucularda asagidaki log girislerini yaratiyor:

GET /scripts/root.exe?/c+dir
GET /MSADC/root.exe?/c+dir
GET /c/winnt/system32/cmd.exe?/c+dir
GET /d/winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET /msadc/..%5c../..%5c../..%5c/..\xc1\x1c../..\xc1\x1c../..\xc1\x1c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc1\x1c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc0/../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc0\xaf../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc1\x9c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%2f../winnt/system32/cmd.exe?/c+dir

Not: Ayrica admin.dll istemleride yapiyor. Logdaki ilk 4 satir Code Red II tarafindan açilmis arkakapiya baglanma denemelerini gösteriyor. Geri kalanlar Dizin Geçme (Directory Traversal) açigi denemeleri.

Saldirganlar yamalar uygulanmamis IIS sunucularda YerelSistem (LocalSystem) güvenlik haklariyla istenilen komutlari çalistirabilirler. Etkilenen sistemler diger internet sitelerine gerçeklestirilen saldirilarda yer alma riskini tasiyor. Nimda solucaninin yüksek tarama orani etkilenen makinelerin bulundugu aglarda bantgenisligi denial-of-service durumlarinada yol açiyor.

Korunma

IIS makinelerin sistem yöneticileri için tavsiyeler:
Sisteminizin etkilenip etkilenmedigine karar vermek için asagidakilere bakin:
    * root.exe dosyasi (Code Red II veya sadmind/IIS solucanlari tarafindan etkilendigini belirtir ve sistemi Nimda solucanindanda etkilenmesini saglar)
    * Web içerigi olan dizinlerde admin.dll dosyasi veya beklenmeyen .eml dosyalari (nimda bulastigini gösterir).
Etkilenen sistemin en güvenli temizleme sistem sürücülerinin formatlanmasi ve sistem yaziliminin güvenilir bir kaynaktan (üretici firma tarafindan saglanan CD-ROM gibi) tekrar kurulmasidir. Ek olarak yazilim kurulduktan sonra üretici firma tarafindan saglanan tüm yamalar kurulmali. Bu islemlerin sistem aga bagli degilken yapilmasi tavsiye olunur. Fakat tüm ag servisleri dikkatli bir sekilde kapatilirsa yamalar internet`tende indirilip kurulabilir.

Üretici firma tarafindan saglanan tüm yamalari kurun. Nimda solucaninin kullandigi tüm IIS açiklarini kapatan toplu yama Microsoft`tan temin edilebilir:
http://www.microsoft.com/technet/security/bulletin/MS01-044.asp

Son kullanicilar için tavsiyeler:

Üretici firma tarafindan saglanan tüm yamalari kurun.
Internet Explorer`in etkilenen bir sürümünü kullaniyorsaniz, CERT/CC asagidaki adresten 'Automatic Execution of Embedded MIME Types' güvenlik açigi için Microsoft tarafindan saglanan yamayi kurmanizi tavsiye ediyor:
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

Bir antivirüs çözümü kullanin

Kullanicilarin antivirüs yazilimlarini güncellemeleri önemli. Pek çok antivirüs yazilimi üretici firma bu açiklar için bilgi, araç ve güncelleme hazirladi.

Eposta ile gelen ek dosyalari açmayin:

Nimda solucani 'readme.exe' isminde bir ek dosya ile gelebilir. Kullanicilar bu ek dosyayi açmamalilar. JavaScript`i kapatin

Son kullanici sistemleri etkilenen sunucular tarafindan host edilen web sitelerini gezerek Nimda wormdan etkilenebiliyor. Bu tip bir bulasma Javascript gerektiriyor. Bu sebeple CERT/CC son kullanicilarin JavaScript`i kapatmalarini tavsiye ediyor.

Sisteminizi http://housecall.olympos.org adresinde online virüs taramasindan geçirebilirsiniz.

Antivirüs Üretici firma bilgileri

Trend Micro
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=TROJ_NIMDA.A
http://www.antivirus.com/pc-cillin/vinfo/virusencyclo/default5.asp?VName=TROJ_NIMDA.A
Central Command, Inc.
http://support.centralcommand.com/cgi-bin/command.cfg/php/enduser/std_adp.php?p_refno=010918-000005
Command Software Systems
http://www.commandsoftware.com/virus/nimda.html
Data Fellows Corp
http://www.datafellows.com/v-descs/nimda.shtml
McAfee
http://vil.mcafee.com/dispVirus.asp?virus_k=99209&
Sophos
http://www.sophos.com/virusinfo/analyses/w32nimdaa.html
Symantec
http://www.symantec.com/avcenter/venc/data/w32.nimda.a@mm.html

Ref: http://www.cert.org/advisories/CA-2001-26.html
http://www.cert.org/other_sources/viruses.html

KAYNAK : www.olympos.org

Geri Dön
Şirket | Arama | Program Arşivi | Hizmetlerimiz | İş Olanakları | Reklam | Sıkça Sorulan Sorular | Ana Sayfa
Copyright 2001 TR.NET Tel: (0312) 295 9000 Fax: (0312) 295 9090