Nimda worm

Nimda worm

Nimda 웜은 메일과 공유 네트워크를 찾아 감염시키며 패치되지 않은 MS IIS

웹서버의 취약성을 이용하여 감염시키는 등 Sircam과 코드레드에서 사용했던

방법을 동시에 이용하는 다양한 방법으로 전파한다. 메일 전송 및 스캐닝 작업으로 시스템 속도가 저하되어 서비스 거부 공격의 피해 효과를 입을 수 있다. 메일을 통한 감염 시 보내는 사람과 받는 사람의 주소를 시스템에 있는 웹 파일에서 임의로 가져오므로 실제 피해자가 아닌 다른 사람의 이름으로 보내어질 수 있으며 원형과 비교하여 다음과 같은 차이가 있다.

메일에 첨부된 파일 readme.exe -> Sample.exe

생성되는 파일 Admin.dll -> httpodbc.dll

생성되는 파일 mmc.exe -> CSRSS.EXE

따라서 sendmail의 필터링 설정으로 Nimda 웜을 막을 수 있다.

system.ini 파일을 Shell=explorer.exe load.exe -dntrunold로 변형한다.

감염된 클라이언트는 Windows address Book에 있는 모든 주소로 Nimda 웜을 포함한 E-mail을 전송한다.

Code Red II와 sadmin/IIS 웜에 의해서 만들어진 백도어를 스캐닝하여 공격하거나 IIS Directory Traversal 취약성을 통해서 전파된다.

## sendmail.cf 에 적용하시면 됩니다.

### Nimda.Worm Filter
HContent-Type: $>check_ct
D{NIMDA}"Your message may contain NIMDA.WORM!!!"

Scheck_ct
R$+boundary="====_ABC1234567890DEF_====" [TAB] $#error $: 550 ${NIMDA}


설정 체크방법:

[root@localhost /root]# /usr/lib/sendmail -bt
ADDRESS TEST MODE (ruleset 3 NOT automatically invoked)
Enter <ruleset> <address>
> check_ct $+boundary="====_ABC1234567890DEF_===="
rewrite: ruleset 182 input: $ + boundary= "====_ABC1234567890DEF_===="
rewrite: ruleset 182 returns: $# error $: 550 Your message may contain NIMDA . WORM ! ! !

>

빠져 나오는 컨트롤키+D 하시면 됩니다.....
--------------------------------------------------
퍼온글인데 원래 글주소를 모르겠네요 문제가 되면 삭제하겠습니다.