{[ promptMessage ]}

Bookmark it

{[ promptMessage ]}

CA-2001-26 - Publications Catalog Secure Coding...

Info iconThis preview shows pages 1–3. Sign up to view the full content.

View Full Document Right Arrow Icon
Publications Catalog Secure Coding Vulnerability Analysis Function Extraction Cyber Security Engineering Network Situational Awareness Resilience Management Insider Threat Governance CSIRT Development National CSIRTs Forensics CERT Training Courses Virtual Training Environment CERT Exercise Network (XNET) Certification Curricula Publications Catalog Historical Documents Authorized Users of "CERT" US- CERT ®  Advisory CA-2001-26 Nimda Worm Original release date: September 18, 2001 Revised: September 25, 2001 Source: CERT/CC A complete revision history is at the end of this file. 
Background image of page 1

Info iconThis preview has intentionally blurred sections. Sign up to view the full version.

View Full Document Right Arrow Icon
CERT Vulnerability Notes Database Vulnerability Disclosure Policy Courses Systems Affected Systems running Microsoft Windows 95, 98, ME, NT, and 2000  Overview The CERT/CC has received reports of new malicious code known as the "W32/Nimda worm" or the "Concept Virus (CV) v.5."  This new worm appears to spread by multiple mechanisms:  from client to client via email  from client to client via open network shares  from web server to client via browsing of compromised web sites  from client to web server via active scanning for and exploitation of various Microsoft IIS 4.0 / 5.0 directory  traversal vulnerabilities ( VU#111677  and  CA-2001-12 from client to web server via scanning for the back doors left behind by the "Code Red II" ( IN-2001-09 ), and  "sadmind/IIS" ( CA-2001-11 ) worms  The worm modifies web documents (e.g., .htm, .html, and .asp files) and certain executable files found on the systems it  infects, and creates numerous copies of itself under various file names.  We have also received reports of denial of service as a result of network scanning and email propagation.  I. Description The Nimda worm has the potential to affect both user workstations (clients) running Windows 95, 98, ME, NT, or 2000 and  servers running Windows NT and 2000.  Email Propagation This worm propagates through email arriving as a MIME "multipart/alternative" message consisting of two sections. The first  section is defined as MIME type "text/html", but it contains no text, so the email appears to have no content. The second  section is defined as MIME type "audio/x-wav", but it contains a base64-encoded attachment named "readme.exe", which is  a binary executable.  Due to a vulnerability described in  CA-2001-06  (Automatic Execution of Embedded MIME Types), any mail software running  on an x86 platform that uses Microsoft Internet Explorer 5.5 SP1 or earlier (except IE 5.01 SP2) to render the HTML mail  automatically runs the enclosed attachment and, as result, infects the machine with the worm. Thus, in vulnerable  configurations, the worm payload will automatically be triggered by simply opening (or previewing) this mail message. As an 
Background image of page 2
Image of page 3
This is the end of the preview. Sign up to access the rest of the document.

{[ snackBarMessage ]}