Nimda — вирус с кучей способов распространенияПродолжаем знакомиться с компьютерными вирусами прошлого века.
Nimda — один из самых примечательных червей. Стал первым червем способным запускаться без необходимости открытия зараженного электронного письма. Первым начал модифицировать сайты, дабы предлагать пользователю скачать файл (содержащий червя, естественно).
Для своего распространения Nimda использовал не один метод, а целых 5:
Зараженные сайтыНа зараженном червем сайте имелся код JavaScript, который заставлял браузер скачивать файл README, содержащий червя:
Файл README открывался в уменьшенном окне, если пользователь использовал браузер Explorer 5.5 с Service Pack 1 (или более ранние версии пакетов обновлений).
Электронная почтаТема письма и само сообщение могли отсутствовать или быть случайными. В письме был приложенный файл — README, который мог запустится даже из панели предпросмотра без какого-либо вмешательства пользователя, поскольку использовал уязвимость в Explorer 5.5 с Service Pack 1, когда Explorer использовался для рендеринга html-почты.
Локальные сетиВ случае подключения к локальной сети с зараженным ПК, машина-жертва получала файл RICHED20, размещенный в любой из папок с файлами расширения .doc или .eml. Эти файлы были скрыты.
СерверыИспользуя уязвимость в серверах Microsoft IIS 4.0 / 5.0, червь копировался в директорию «scripts» под именем ADMIN.
Червь Nimda (admin задом наперед) заражал персональные компьютеры на системах Windows 95, 98, NT, 2000 или XP и серверы на Windows NT и Windows 2000.
В коде червя было обнаружено следующее: Concept Virus(CV) V.5, Copyright©2001 R.P.China. Это убедило многих исследователей в том, что это ПО было разработанно именно в Китае, но кроме того факта, что первое распространение прошло из сетей в Азии, никаких точных данных нет.
↪️ @XAKEPCTBO\_CHANNEL