[ virus.neobee.net ]

VIRUS INFO
Naziv virusa:	W32/Nimda-A
Alias:	W32/Nimda@MM, W32.Nimda.A@mm, W32/Nimda.a@MM, W32/Nimda.eml, W32/Nimda.htm, Code Rainbow, Minda, Nimbda
Tip:	Win32 virus/worm
Način širenja:	e-mailom, otvaranjem zaražene web stranice i preko mreže
Veličina:	57 344 bajtova
Destruktivan:	da
Datum aktiviranja:	odmah
Otkriven:	18.09.2001.

OBJAŠNJENJE
Ovo je virus koji će podjednako zaraziti sve Microsoft Windows verzije (95, 95 SR2, 98, 98 SE, Me, NT, 2000 i XP).
Stiže kao e-mail poruka sa attachmentom README.EXE. Virus će pokušati da iskoristi propust u Microsoft Outlook, Microsoft Outlook Expressu i Internet Exploreru da se odmah startuje bez potrebe da korisnik startuje pristigli fajl.
Kada se pristigli fajl startuje, virus će kreirati sledeće fajlove u C:\WINDOWS direktorijumu LOAD.EXE i RICHED20.DLL. Oba ova fajla će biti sakrivena za korisnika, tj. imaće atribute Hidden. Prilikom kreiranja ovih fajlova na korisnikovom računaru, virus će pokušati da ove fajlove snimi i na ostale računare koji su umreženi.

Da bi omogućio da se startuje svaki put kada korisnik startuje Windows, virus će dopuniti jedan red u System.ini fajlu:
shell=explorer.exe load.exe –dontrunold

Posle ovih izmena na korisnikovom računaru, virus će se poslati na sve e-mail adrese koje pronađe u korisnikovom Address Booku. Ako korisnik ne ukloni ovaj virus sa svog računara, virus će se ponovo aktivirati za 10 dana. Tada će aktivirati samo funkciju za slanje preko e-maila
Koristeći ranjivost IIS Unicode Directory Traversal, virus će pretražiti sve web servere slučajnim izborom IP adresa u potrazi za sledećim fajlovima:

index.html
index.htm
index.asp
readme.html
readme.htm
readme.asp
main.html
main.htm
main.asp
default.html
default.htm
default.asp.

Kada pronađe neki od ovih fajlova, virus će na kraj fajla dodati JavaScript kôd. Korisnik koji poseti ovako izmenjenu web stranicu biće zaražen sa ovim virusom jer će kôd odmah na korisikov računar preneti fajl README.EML i startovati ga.

Pažnju trebaju da obrate korisnici Windowsa NT ili 2000 jer kod njih postoji fajl MMC.EXE koji virus izmeni sa svojim kodom. Primećeno je, naime, da korisnicima onda Windows radi osetno sporije. Korisnici koji koriste verzije 95, 95 SR2, 98, 98 SE, Me i XP neće biti ugroženi sa ovom izmenom u sadržini fajla.
Da bi se izbeglo moguće inficiranje pristupom zaraženom sajtu, Microsoft je spremio patcheve za Internet Explorer. Tako korisnici koji koriste verziju 5.01 treba da instaliraju sledeći patch a oni koji koriste 5.5 – ovaj patch. Korisnici koji koriste verziju 6.0 ne moraju da instaliraju patcheve jer su oni već automatski uključeni u novu verziju.

Kada virus preuzme kontrolu nad korisnikovim računarom, on pretražuje sve direktorijume koje korisnik ima na svom računaru u potrazi za svim fajlovima koji imaju ekstenziju HTM, ASP i HTML. U svaki od ovih fajlova virus na kraj fajla upiše jedan red JavaScript kôda. U svaki direktorijum koji virus uspešno zarazi, virus kreira fajl README.EML ili README.NWS u koji upiše sam kôd virusa koji će biti pokrenut svaki put kada korisnik startuje bilo koji zaraženi fajl iz tog direktorijuma.

Virus kreira u Windowsima sakrivena deljenja diskova. Tako u verzijama NT i 2000 deljenja idu od c$=c:\ do to z$=z:\. Dok kod verzija 9x/Me virus ubacuje sledeći ključ u Registry bazu:

HKEY_LOCAL_MACHINE\SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Network \ LanMan

Ovim izmenama koje je virus napravio, omogućeno je da svako ko pristupa korisnikovom računaru ima kompletan pristup svim fajlovima.

Kada završi sa izmenama oko pristupa korisnikovom računaru, virus inficira sve EXE fajlove i nasumično kreira fajlove sa ekstenzijama EML i NWS. Ako u nekom direktorijumu pronađe fajl sa ekstenzijom DOC, virus će kreirati fajl RICHED20.DLL. Ako korisnik hoće da pogleda sadržinu fajl RICHED20.DLL, moraće prvo da startuje DOC fajl pa tek onda da vidi sadržinu tog fajla.

Virus neće inficirati fajl WINZIP32.EXE ili fajlove koji su veći od 8,388,608 bajtova.

Prilikom širenja preko mreže, virus će jos nasumično kreirati fajlove sa ekstenzijama EML i NWS.

Virus u svom kôdu ima zapisano sledeće ali to korisnik ne vidi:
Copyright 2001 R.P.China

REŠENJE
Zbog svoje moguće destruktivnosti i nemogućnosti lakog uklanjanja ovog virusa, korisnicima savetujem da preuzmu ovaj cleaner. Ako kojim slučajem imate problema sa uklanjanjem ovog virusa, molim da me kontaktirate.

Na ovim stranicama ćete uvek biti obavešteni o novim virusima koji se pojavljuju kao i načinom uklanjanja istih sa vašeg računara. Pored virusa, na ovom sajtu možete naći najefektnije načine zaštite od virusa kao i zaštita od upada u vaš računar.

Virus Informacioni Centar je otvoren za sva vaša pitanja, preloge, kao i sugestije u vezi ovog sajta.

Virus Informacioni Centar
Neobee.net ISP
Email : virus@neobee.net
ICQ : 48089085

VIrus Informacioni centar
Broj poseta31231 poseta od 23.03.2001.