鸟哥的 Linux 与 ADSL 私房菜

检测 Nimda 文档

实例一：
实例二：

最近更新日期：2001/09/20

上周（2001/09/13）才刚刚发布的 Nimda （妠坦病虫）在 RedHat 下的检测方法：

前言：
这只病虫对于 Linux 并不会有危害，但是对于微软的窗口（尤其是 windows2000 服务器）则攻击得很凶，甚至于比 Code Red 还要来得凶！尤其他的扩散管道非常的多，除了常使用的邮件传送之外，亦可经由 WWW 服务器的 port 80 来传播，此外，亦可以经由『网络上的芳邻』（资源分享）来传播病毒！真是可怕！

入侵方向与分析原理：
由于 Nimda 可以经由三重管道传播病毒，我们并无法得知他经由『网芳』传播的情况（其实还是可以的，只要分析 SAMBA 服务器的登录档就可以知道连上线的用户端情况了！），因此以下仍然是以 WWW 服务器的 port 80 作为检测的方向。
　
在 WWW 服务器方面，基本上，与 Code Red 相同的， Nimda 是以微软的 WWW Server 的 port  80 侵入服务器的 WWW 服务，然后再进行破坏行为。当 Nimda 尝试侵入 Linux 的 port 80 时，就会被档下来（因为没有 Nimda 缺省要入侵的文件系统），而在 Linux 的 Apache 登录档上面就会有纪录，亦即在你的 WWW 网页登录档（应该是在 /usr/local/apache/logs/access_log 这个文件）留下记录，这个文件的内容有点象这样：
　

61.224.44.98 - - [17/Sep/2001:15:43:28 +0800] "GET /~vbird/linux_live/index.php HTTP/1.0" 200 893 211.74.244.91 - - [17/Sep/2001:15:43:28 +0800] "GET /~vbird/linux_live/index.php HTTP/1.1" 200 905 211.74.210.189 - - [17/Sep/2001:15:43:29 +0800] "GET /~vbird/linux_live/index.php HTTP/1.1" 200 905 140.116.44.156 - - [19/Sep/2001:10:36:30 +0800] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 287 140.116.44.156 - - [19/Sep/2001:10:36:30 +0800] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 285 140.116.44.156 - - [19/Sep/2001:10:36:30 +0800] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 295 140.116.44.156 - - [19/Sep/2001:10:36:30 +0800] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 295 140.116.44.156 - - [19/Sep/2001:10:36:30 +0800] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 309 140.116.44.156 - - [19/Sep/2001:10:36:30 +0800] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir TTP/1.0" 404 326

　
象上面这个例子中，第一行中，61.224.44.98 指的是使用你 WWW 服务器的主机名称，后面接的是注册的日期，然后 GET 后面接的是 WWW 服务器传送的文件，而在黄色的部分则是当 Nimda 尝试注册你的 WWW 服务器时，由于系统不是 Windows2000 所以会显示的错误信息！（Nimda 在一次的尝试登录中，就会有差不多15行的错误信息出现），因此，我们只要分析登录档（access_log）就可以知道哪一个 IP 已经中毒了！（就是看前面的 IP 罗）

病虫的危害性质：
在已经公布的数据中， Nimda 的危害程度与性质你可以到下面的网页中查询道：

• 金帅（ZLock）防毒中心；

• 趋势（Trend）；趋势二（Trend）

• 赛门铁克（symante.）；台湾赛门铁克

• 台湾危机处理小组；

检测实例：

• 经由修改 周定贤老师 针对 Code Red 的小程序加以改良（搜索字符串改变） ：
  这个例子可以每天将你的主机中，将尝试侵入你主机的计算机 IP 列出来，并且每 5 分钟更新一次！你可以将上面的文字档拷贝下来，贴在你的 Linux 系统中，创建一个文件，并改成可执行来测试！

解毒方法：
趋势与赛门铁克已经公布了解决办法，你可以去看看，这里也提供他们提供的方法解释：（数据来源：趋势与赛门铁克公司）

• 趋势：

  1. 计算机族如果收到Readme.exe(读我)文件，请直接除去，勿打开以免中毒。

  2. 趋势科技产品用户请立即更新扫瞄引擎至5.20以上和病毒代码至942(含)以上，以检测及清除此病毒。

  3. 由于病毒会搜索网络上的磁盘驱动器，企业若安装了IIS主机，请至微软站点下装最新的Service Pack及修正程序!!
     http://www.microsoft.com/taiwan/support/content/6496.htm

  4. 若你连接至中毒的网页服务器，会自动下装病毒文件，请将防毒软件打开至驻留状态。

  5. 如果您有安装eManager可以设定收到readme.exe, readme.wav及readme.com三个文件附件移除。

  6. 如果您使用微软IE 浏览器,请连接下列微软公司站点更新 IE 的修正程序
     http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-020.asp

  7. 手动解决方法：
     (1) 请关闭资源分享功能
     (2)连接至趋势站点下装清除程序
     (3)将清除程序存放至暂存目录中.并运行以解压缩
     (4)关闭防毒软件的实时扫瞄功能
     (5)运行FIX_NIMDA.EXE
     (6)重新激活计算机.使用防毒软件扫瞄所有文件.
     (7)若您发现 RICHED20.DLL 及 LOAD.EXE 文件无法清除.请由平时备份还原
     (8)请您将防毒软件设定为扫瞄所有文件.您可参考
     http://www.trend.com.tw/EncyclopediaV2/download/Troj_Sircam_pre.doc 说明设定

• 赛门铁克：

  1. 运行 LiveUpdate 联机更新至最新版本的病毒定义代码；

  2. 开始运行 Norton AntiVirus 防毒软件（NAV，在右下方的诺顿小图示中点两下），并请将扫瞄选项设定为全部文件均扫瞄；

  3. 开始运行『全系统扫瞄』；

  4. 若有发现任何 W32.Nimda.A@mm 或 W32.Nimda.A@mm(html) 的病毒，选择『修复』；

  5. 若有发现任何 W32.Nimda.A@mm(dr) 或 W32.Nimda.A@mm(dll) 的病毒，选择『除去』；

  6. 若无法除去 admin.dll 及 riched20.dll 文件时，以备份（或者其它相同操作系统的计算机上）的 admin.dll 及 riched20.dll 文件覆盖中毒的计算机文件；

  7. 将计算机重新引导系统；

  8. 重复上面的步骤1-6，直到 NAV 找不到任何毒为止；

  9. 除去 \windows\system.ini 的下面一行字（应该是第二行左右）：
     Shell= load.exe -dontrunold

  10. 关闭不必要的资源分享；

Designed by VBird during 2001-2004.  Aerosol Lab.