Nimda

Nimda
Тип сетевой червь, эксплойт
Год появления 18 сентября 2001 года
Используемое ПО бэкдоры в Internet Information Services, созданные червями Code Red II и Sadmind

Nimda («admin» задом наперёд) — многовекторный компьютерный червь, написанный на языке C++ и распространяющийся по электронной почте, заражённым веб-сайтам, локальным сетям, серверам и бэкдорам, оставленными другими вирусами[1]. Изначально должен был называться «Concept», но это название уже было занято другим вирусом. Впервые был замечен 18 сентября 2001 года. Поражал персональные компьютеры на системах Windows 95, Windows 98, Windows XP, Windows 2000 и Windows NT. Червь сильно забивал интернет-трафик, значительно замедляя его работу[2].

Происхождение вируса

Происхождение вируса неизвестно. В коде первой версии вируса содержится строка «Concept Virus(CV) V.5, Copyright(C)2001 R.P.China.»[1], что наталкивает на мысль, что вирус имеет китайское происхождение[3].

Технические детали

Червь мог распространяться и заражать устройства несколькими способами[2][4]:

  • Через электронную почту, рассылая письма с вложениями «readme.exe», причём тема письма не всегда одинаковая.
  • При нахождении уязвимого www-сервера Nimda мог изменить JavaScript-код случайных страниц на этом сайте. При заходе на них скачивался вирус.
  • Эксплуатируя бэкдоры в серверах IIS, созданные червями Code Red II и Sadmind, и другие уязвимости в Internet Information Services (IIS).

Червь модифицирует веб-документы (например, с расширениями .htm, .html и .asp) и некоторые исполняемые файлы и создаёт несколько своих копий под разными названиями. Червь также содержит код, который будет рассылать заражённые сообщения электронной почты каждые 10 дней. Иногда Nimda может привести к отказу в обслуживании пропускной способности в сетях с заражёнными машинами[2].

Версии вируса

У Nimda есть несколько вариаций, которые мало чем отличаются от оригинала. В версии Nimda.b всего лишь была заменена одна строка. Nimda.c являлась оригинальной версией вируса, упакованной UPX. Nimda.d был разослан в октябре 2001 г., строка-копирайт была заменена на «HoloCaust Virus.! V.5.2 by Stephan Fernandez.Spain». Nimda.e был обнаружен почти одновременно с Nimda.d, в нём появились отличия в коде, некоторые функции были оптимизированы, а названия загружаемых файлов изменены[1].

См. также

Примечания

  1. 1 2 3 Kaspersky Threats — Nimda. Kaspersky. Дата обращения: 24 мая 2021. Архивировано 24 мая 2021 года.
  2. 1 2 3 CA-2001-26. CERT. Дата обращения: 9 мая 2022. Архивировано из оригинала 26 февраля 2014 года.
  3. A Worm Named Nimda. CBS News. Дата обращения: 9 мая 2022. Архивировано 9 мая 2022 года.
  4. Net-Worm:W32/Nimda Description. www.f-secure.com. Дата обращения: 31 июля 2021. Архивировано 31 июля 2021 года.

Content Disclaimer

Informasi ini disarikan dari Wikipedia dan disajikan kembali untuk tujuan edukasi. Konten tersedia di bawah lisensi CC BY-SA 3.0. Kami tidak bertanggung jawab atas ketidakakuratan data yang bersumber dari kontribusi publik tersebut.

  1. The information displayed on this website is sourced in part or in whole from Wikipedia and has been adapted for the purpose of restating it. We strive to provide accurate and relevant information, however:
  2. There is no guarantee of absolute accuracy. Wikipedia is an open, collaborative project that can be edited by anyone, so information is subject to change.
  3. It is not intended to constitute professional advice. The content displayed is for informational and educational purposes only. For important decisions (e.g., medical, legal, or financial), please consult a professional.
  4. Content copyright. Wikipedia is licensed under the Creative Commons Attribution-ShareAlike License (CC BY-SA). This means that content may be reused with appropriate attribution and shared under a similar license.
  5. Responsible use. Any risk arising from the use of information from this website is entirely the responsibility of the user.