Статья Историческая вирусология: безумное китайское творение, натворившее дел - червь Nimda: история, хронология, анализ

Предисловие


9dd5e90ca170185702e0f31cca829ea5.gif

Здарова. И действительно, пальцев на руках и ногах явно будет недостаточно, дабы сосчитать количество несправедливости, происходящей даже в этот самый миг. Ты читаешь эту статью, а где-то происходит какая-то жесть: кто-то стал жертвой мошенников, кого-то подставили и посадили, а кого-то и вовсе загнобили за то, что его кожа отличается цветом или то, что он не язычник и не верит в богов.

И мы с вами ничего не в состоянии сделать с этим, таков уж он порядок нашего бытия, невозможно одеть маску, да ту же самую медицинскую, что вы носите уже по несколько лет, и надавать по щам всем злодеям этого мира. Хотя иногда такое желание и возникает. А поскольку практически все злодеи нынче перешли в интернет, то и нужды надевать маску Бэтмена и вершить правосудие физически особо нет. Зачем палить ларек конкурента, когда можно просто заддудосить его сайт, зачем вламываться к нему и избивать, если можно просто опорочить его в сети?

Сейчас нет нужды быть большим и сильным, ведь практически каждая проблема может быть решена с помощью клавиатуры. Таков уж он цифровой век, а все, что было ранее - лишь история, а о ней и народных мстителях сегодня и поговорим - Историческая Вирусология, десятый юбилейный выпуск, а прошлые девять вот здесь:

1. Немного ностальгии: историческая вирусология или LoveLetter в цвете современности - 22 года спустя
2. Историческая вирусология: или 40 миллиардов долларов за 18 лет - MyDoom: хронология, история, анализ
3. Историческая вирусология: Чернобыль — как это было на самом деле или как заставить ваш ПК полететь из окна: история, хронология, анализ - CIH
4. Историческая вирусология: разговор о первом черве - или как одна ошибка изменила ход истории - Morris Worm
5. Историческая вирусология: раняя хронология программ-вымогателей - AIDS, GPcode, Arhivarius. Или как шутка психически больного стала каноном
6. Историческая вирусология: поздняя хронология программ-вымогателей - ZeuS, CryptoLocker, CTB: вирусный трафик ценой в миллиарды. Часть 1
7. Историческая вирусология: локер Илона Маска или как открылась Тесла - поздняя хронология программ вымогателей. Часть 2
8. Историческая вирусология: американский школьник и 250 миллионов - Blaster Worm: история, хронология, анализ
9. Историческая вирусология: Политически предубежденный вирус или как очередное исследование зашло не в ту степь - Confiker: история, хронология, анализ


Подведем к дисклеймеру максимально примитивно, каждый поймет к чему это отсылка, герой нашей сегодняшней статьи - Танджиро. Живет он где-то в горах и часто ходит в город продавать уголь. Вот значится в один зимний день он все также продавал уголь в ближайшем поселке, а это немного-немало 40 километров от его жилища. Усталость, невообразимая усталость, ноги готовы просто отпасть, но он пересиливает себя и вот он перед домом. Его никто не встречает. Странно. Открыв двери дома он ощущает резкий запах крови, а там… Дисклеймер.

Дисклеймер

На самом деле я против зла и то, что я покажу вам далее, может быть, практически применено различного рода антагонистами. Сразу предупреждаю, что я, как автор этой писанины , снимаю с себя ответственность за то с каким умыслом будет использована эта информация дальше. Виноват только и только тот, кто применяет знания, но не тот, кто ими делится. Автор лишь преследует благие цели, используя способы и пути злоумышленников, раскрывает суть преступного механизма, открывая людям глаза, демонстрируя способы защиты, ведь лучший протект - это знания.

И напоминаю, что в рамках этой связки статей у нас действует конкурс на 5.555 рублей, а связан он с отсылками в моих работах: культовые фильмы, анимешки да и просто мемы с играми. Узнали? Пишите комментарий, ведь тот, кто раздает все пасхалки - получит денежку.

Историческая вирусология: безумное китайское творение, натворившее дел - червь Nimda: история, хронология, анализ


И вот 20 лет спустя, наш герой уже смирился, что вся его семья стала дисклеймером для моей статьи, он переехал в Китай, ничего особого. Трудится там на благо местной ИТ компании, пишет игрушки, типа тетриса. Это хорошо? Естественно!


Обеденный перерыв, Танджиро решает посмотреть новости, поедая сочный бургер. Все заголовки пестрят красноречивыми названиями, типа “АААА, новый ВИРУССС МЫ ВСЕ УМРЕМ” и тому подобное. Кликнув на отчет от CNN, он узнает следующую информацию:

“В Интернате, ой не так прочел, интернете, обнаружился новый опаснейший вииирус. распространяющийся с очень большой скоростью. Эксперты полагают, что новый вирус может нанести больше ущерба, чем кто-либо до него.

Имя будет ему - Nimda - это перевернутое задом наперед слово "admen", опять не так прочел, безграмотный у нас Танджиро. Червь распространяется по электронной почте в виде письма со случайным заглавием и приложенным файлом "readme.exe", который и содержит код зловреда.

При этом отмечается, что если у вас старая версия почтового клиента, а именно Outlook 1.3 тысячи до нашей эры, то открывать вложение, дабы стать очередной жертвой вируса, не обязательно, достаточно лишь просмотреть само письмо.

Ну нашему герою просто побоку на это все, он доел свой бургер, а нет, не доел, просто бросил его в своего офисного недруга. Ну не учат манерам в горах, поймите.
Наш герой как раз и является пользователем OutLook 1.3 до н.э., обновлять, конечно же, он его не намеревается в ближайшую сотню-вторую лет. И вот, он замечает письмо с рандомным набором букв, даже не смотря на ту новость, что он только что прочел, он открывает письмо и.. Все.

1656249424164.png


Ну ничего особого не происходит, но его старенький рабочий компьютер на шиндоус NT, кстати она у нас впервые за десять выпусков, начинает сильно тупить, показывая загрузку ЦП на 1000%, а интернет вовсе не работает. Что же случилось? М-м? Сперва разберемся в хронологии этого зловреда и что же он представляет из себя на самом деле.

Лично моё мнение… Короче я считаю, что в кое-то веки это какая-то реинкарнация Лавлетер, не такой уж и большой промежуток времени и очень похожий способ распространения, но этот зловред уже не шифровал ничего и просто нагружал вашу систему до предела. Хотя позиционируется в истории он как многовекторный компьютерный червь, ведь у его можно было использовать для практически любой задачи в те времена. Хотелось бы отметить, что способы распространения не ограничивались письмами: локальные сети, сайты, а самое интересное, что он использовал - бэкдоры других вредоносов.

Актуален на то время он был для следующих систем: Windows 95, 98 , Me , NT или 2000 и на серверы под их управлением. Написан он у нас на C++ где-то в Китае, создатель неизвестен, китайцев много просто и все они на одно лицо, не нашли беднягу. Единственная зацепка в коде, от которой и идет предположение о родине червя так это вот этот текст: Concept Virus(CV) V.5, Copyright(C)2001 RPChina”.

Ну как бы на дворе 2001 годик, как уже неоднократно мной упоминалось, в то время о информационной безопасности никто не задумывался даже. Да, недавно прошла эпидемия, созданная де Гузманом. Но всех это очень мало как взбудоражило. Списав все на единичный случай, люди так же легкомысленно подходили к каким-то письмам и так далее. При учете, что вложение было даже не обязательно открывать, так как в письме оно обозначено как аудиофайл, система запускает червя автоматически. И многие люди в своей голове, тех которых хоть чуточку научила история с ЛавЛеттер, ну не открываю, значит я в безопасности. Черта вам в тарелку, вы инфицированы.

А теперь поехали к хронологии, разберемся, как и что происходило, но найти подробную хронологию, к сожалению, мне пока что не удалось. Возникновение и конец - да, а вот, что было в промежутке этого времени, к несчастью, нет. Если так пойдёт, то втулим сюда ещё и его предшественника - Red Code.

18 сентября 2001 года - Нимда заражает компьютер какого-то работника крупной ИТ компании того времени, он открывает письмо и процесс запущен. Интересно отметить, что изначально он носил название I-Worm-Nimda, напоминаю ,что на то время, ещё не был создан MyDoom. Смекаете?

22 минуты спустя, тот же год - за это время червю удается заразить сверх миллиона устройств. Звучит… Безумно.

19 сентября 2001 года - все новостные организации пищат о начале новой эпидемии, явно только раззадорив создателей и в этот же день выходит новая версия вируса - I-Worm.Nimda.E, которая, как и последующие, не несла в кардинальных изменений, была переписана лишь одна строка.

25 сентября 2001 года - выходит версия… Тадам, теперь она называется просто Nimda, это же гениально! Но здесь уже были небольшие различия, ведь была добавлена возможность распространения, используя уязвимость Интернат эксплорера 5.0 - CVE-2000-0884. Назвали её уязвимостью системной папки, м-м-м.. Потом расскажу о принципе работы.

30 октября 2001 года - сверх 7 миллионов зараженных устройств. Нимда легко обнаруживается, в отличие от прошлого червя, никак себя на маскирует, но и одновременно на зараженном устройстве, кроме лагов, никаких симптомов.

27 октября 2001 года - три версии упускаем, ибо там просто не было изменений, строчку переписали и все. Ну кодеры молодцы, явно знают свое дело. Выходит Nimda.c, которую наконец додумались упаковать UPX’ом и изменили копирайтинг, теперь он выглядит вот так “HoloCaust Virus.! V.5.2 by Stephan Fernandez.Spain”.

30 ноября 2001 года, выходят Nimda.E и Nimda.d, будто от разных разработчиков, но имеют одинаковые изменения. Код был немного оптимизирован, изменены импортированные файлы.

1 декабря 2001 года, последняя известная версия - Nimda.x , вот здесь уже есть о чем рассказать. Его упаковали с помощью PECompact, размер файла составил - около 27 тысяч байт. Изменяется имя файла во вложении, теперь он - sample.exe. Изменены подгружаемые библиотеки: HTTPODBC.DLL или COOL.DLL вместо ADMIN.DLL.
Далее появляется возможность редактировать Java скрипты уязвимых сайтов, заменяя желаемый скачиваемый файл на вредоносный код.

И это уже какой-то цирк, снова меняется копирайтинг - “Concept Virus(CV) V.6, Copyright(C)2001, (This’s CV, No Nimda.)”.

1656249404681.png


Конец декабря 2001 года, эпидемия идет на спад, Майкрософт выпускает патчи для своих систем и обновление для Интернат эксплорера ( ну да, обозреватель интерната, именно так), и для Аутлук, который был обновлен принудительно и уже не открывает все вложения автоматически. Мм, плюс была выпущена утилита для обнаружения и дезактивации червя.

А теперь к механизму работы! Ура-а. Нет, не ура. Сложная часть.

Сразу же после запуска он начинает импорт своих копий в системные папки:
  • В папку Windows залетает MMC.exe.
  • Далее там же он заменяет файл RICHED20.DLL, который изначально был компонентом шиндоус.
  • И импортирует уже в папку system32 файл Load.exe.
Затем этот вредонос регистрирует себя… Нет, не в реестре, для удобной автозагрузки, а в системном файле system.ini, отвечающим за автозапуск программ при старте системы. Как он это делает? Да просто, добавляет следующую строку:


Далее процесс вируса получает права администратора и начинает творить чудеса, делает несколько десятков своих копий под рандомными именами в ту же папку Виндоус. Это могут быть или mep01A2.TMP, mep1A0.TMP.exe, или mepE002.TMP.exe, mepE003.TMP.exe, mepE004.TMP.

Затем всем файлам присваивается значение “скрытый” и системный, но ММС остается виден для всех.

После он изменяет имя своего процесса на Explorer.exe, дабы маскироваться под системный процессом обозревателя.

Оп, а сейчас побеседуем о том, как червь осуществляет рассылку себя через почту.

Ну как бы тут просто, для отправки из устройств, на которых он уже начал свою деятельность, через электронную почту Nimda создает SMTP-соединение и с его помощью пересылает свои копии на другие адреса электронной почты, которые хранятся в адресной книге. То есть способ распространения ничем в этом плане не отличается от того же ЛавЛеттера. Все гениальное просто.

Но его деятельность не ограничена адресной книгой, используя тот самый интернат эксплорер, он начинает анализ всех посещенных страниц и сбор имейлов. Далее в качестве заглавия он выбирает название рандомного файла из папки документов. То есть если у вас есть там один файл с названием “ti_lox228.txt”, то заглавие будет аналогичным. Путь к папке Документы червь берет из ключа системного реестра Windows:
Код:
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerShell FoldersPersonal


На конец-то он к нему обратился, о боги. А вот вам пример сгенерированного письма:

Тема письма: lox228

Тело письма: пустое

Вложенный файл: README.EXE

И вот здесь червь использует уязвимость неправильного заголовка MIME, называется она MS01-020, если я там назвал её иначе раньше, то простите. Немного о ней.

Поскольку сообщения электронной почты в формате HTML - это просто веб-страницы, то Интернат обозреватель может отображать их и открывать двоичные вложения в соответствии с их типами MIME.

Вот этот MIME - это стандарт пересылки сообщений в те года, если объяснять просто.
Однако существует недостаток в типе обработки, который указан для некоторых необычных типов MIME. Если злоумышленник создал электронное письмо в формате HTML, содержащее исполняемое вложение, а затем изменил информацию заголовка MIME, чтобы указать, что вложение относится к одному из необычных типов MIME, которые Интернат обрабатывает неправильно, то браузер автоматически запускает вложение при отображении электронного письма. .
Злоумышленник может использовать эту уязвимость в любом из двух сценариев. Он мог разместить поврежденное электронное письмо в формате HTML на веб-сайте и попытаться убедить другого пользователя посетить его, после чего сценарий на веб-странице мог открыть письмо и инициировать исполняемый файл. В качестве альтернативы она могла отправить письмо в формате HTML непосредственно пользователю. В любом случае исполняемое вложение, если оно будет запущено, будет ограничено только разрешениями пользователя в системе.


Screenshot_16.png


Ну это пересказ из официальной сайта Майкрософт, содержащегося только в английском варианте.
В локальных сетях он ведет себя попроще, просто сканирует наличие общих системных папок или дисков, а дальше раскидает свои копии со случайными именами и расширениями .EML в 95% случаев и .NWS в 5% случаев.
Эти расширения являются стандартными для писем электронной почты, потому в результате, компьютеры могут содержать на своих дисках миллионы копий, от повторного заражения никто не додумался ограничить. Из-за этого часто возникала, если идет речь о каком-то офисе, где все ПК имеют общую папку в локальной сети, проблема с переполнением жесткого диска.
Далее, если вредонос заражает компьютер-сервер, то он ищет файлы, в именах и расширениях которых присутствуют следующие
комбинации:

Имена: “DEFAULT” , “INDEX” , “MAIN” , “README”

Расширения: .HTML, .HTM, .ASP

Если такой файл найден, червь создает в одной папке с ним файл README.EML. Затем он модифицирует найденный файл,
добавляя в него короткий код на Javascript. Когда какой-то пользователь смотрит зараженный сайт, то сразу же начинается выполнение внедренного кода, в последствии скачивается вот этот Ридми.eml и если его открыть, то происходит процедура аналогичная открытию письма в почте.

Ну, а о том, как он использовал бэкдоры от РэдКода поговорим в статье о нем. Сейчас о этом не станем вести монолог мой.

Каковы последствия заражения этим червем? Ммм, да практически никаких, если у вас, как у Танджиро, находилось рабочее устройство в офисе и была общая локальная папка или диск, то, вероятно, что вы пострадаете от переполнения диска. Кстати, никаких чекеров на повторный запуск или мьютексов вредонос не создает и не использует. На инфицированном устройстве может быть запущено бесконечное количество копий, но это рано или поздно приведет к отказу устройства. А, и ещё одна прикольная фича, он выдает гостевой учетке, если такова имеется, права администратора и от этого, если это ваш личный ПК на несколько учетных записей, может пострадать ваша конфиденциальная информация.
К сожалению, мне не удалось найти ни исходного кода, ни … Стоп, нашел. Продолжаем.

Значится, виндоус НТ и Нимда последней версии, посмотрим, что происходит на устройстве и как оно себя будет вести под воздействием червя.
Ага-а, опять китайцы последними качают… Все ясно.

4q6GFQE9MgywaKXED30L4I0CmMv3YE6Su0dHAWW96J9PXe2BQ5UkUyUOJY4j9wEB5AzGoDlJQlyJ_q_05LvmPycqw3ialqjyoQEXDTfkxo6S5tK2rRNkZp26eesb1im7xsLYrdrV5DxVkMVu4w


Ладно, так уж и быть. Эта штука будет мне стоять 20$. А, скачался пустой архив. Спасибо. Заскамили на 20$.

Итоги

Приветики, не удалось протестировать этот вирус на своей машине, но уж ладно. Я не могу не насмехаться над создателями этого вредоноса, ведь распространить-то распространили, а потом пошла какая-то дичь. То копирайтинг меняют, то переписывают одну строку и лишь под конец дошло, что можно использовать компилятор.

Это смешной вирус, с не менее комичной историей, он не имел каких-то, разящих устройства один за другим, деструктивных факторов. Всего-то нагружал систему и в некоторых случаях переполнял диски, не шифровал ваши файлы, тем не менее он смог нанести мировой экономике ущерб в 320 миллионов долларов и заразить около 8 миллионов устройств по всему миру.

Имя создателей или создателя, истинного, а не того на которого был переписан копирайтинг, кстати его нашли и посадили на 18 месяцев. В судебном процессе ничего интересного не было, хотя мне кажется, что это просто злая шутка китайцев-шизофреников. А как довершение теории о испанском происхождении была выпущена малоизвестная версия I-worm.Nimda.b2, в которой имена файлов для заражения по локальной сети были изменены на PUTA!!.SCR , PUTA!!.EML, что в переводе на человеческий звучит, как “Сука!!”. С испанского кстати.

Противоречивые чувства, но все таки исторический и легендарный червь. Всем спасибо. Мира. А с вами был какой-то парень под ником DeathDay и у нас продолжается статейный марафо-он. Не прощаюсь.

18.09.2001. I-Worm.Nimda.​
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!