Virus Nimda

Si Ud. nota un incremento considerable en el tráfico que fluye a través de su red, es posible que este contagiado ya que el virus desata una búsqueda brutal de direcciones IPs a las cuales infectar. El producto Sniffer fue de mucha utilidad. Lizet Lamela, gerente de producto NAI en Netix, nos envía un filtro específico (Sniffer.csf (Nimda)) para detectarlo. Las instrucciones para utilizarlo son las siguientes:
La infección con el virus Nimda puede producirse por varios medios: El virus se transmite en forma de fichero adjunto, de nombre "readme.exe". El nombre del adjunto puede variar, por lo que se recomienda no abrir ningún fichero adjunto sin comprobar su origen, y en ningún caso abrir un adjunto que contenga un fichero ejecutable. Hay que tener en cuenta que el mensaje infectado puede provenir de direcciones de correo conocidas, correspondientes a usuarios que hayan sido a su vez infectados con anterioridad.
En computadoras domésticas, corriendo Windows 95, 98, NT, 2000 y Me, el gusano realiza estas acciones:
  1. . El usuario recibe un archivo infectado (README.EXE) a través del correo electrónico, o visitando un sitio infectado.
  2. En el caso de un mensaje infectado, si el usuario tiene una versión de Outlook u Outlook Express en la que no ha sido instalado el parche para la vulnerabilidad que explota el gusano, el adjunto se ejecuta automáticamente cuando el usuario abre el mensaje o lo visualiza en el panel de vista previa. No es necesario hacer doble clic sobre el archivo adjunto.
    El adjunto es del tipo "audio/x-wav", con el nombre README.EXE. El Internet Explorer interpreta que en realidad se trata de un archivo de audio (cuando no lo es), y eso ocasiona que sea "reproducido" en forma automática cuando se abre el mensaje.
    El mensaje puede tener un asunto extremadamente largo, o ninguno.
    En el interior del archivo se puede encontrar la siguiente cadena:
    Concept Virus(CV) V.5, Copyright(C)2001 R.P.China

  3. El usuario navega por un sitio infectado con un navegador sin el parche, y automáticamente el archivo README.EXE es descargado y ejecutado en su máquina, sin necesidad de hacer clic en ningún enlace. Esto se produce por la misma causa mencionada en el punto anterior.

  4. En un sistema con el parche respectivo, el usuario recibe el archivo README.EXE vía correo electrónico o al visitar una página infectada, y lo abre cuando Windows le pregunta para hacerlo (tenga en cuenta que en todos los casos esta pantalla que mostramos aquí, aparece sin que el usuario haya cliqueado sobre ningún enlace):

    5. Si el usuario acepta la descarga, aparece esta otra pantalla:

    Luego de la descarga, puede quedar esta tarea activa (mhtml:http:....readme.eml). Pulse CTRL+ALT+SUPR, márquela y pulse en Finalizar tarea:
  5. Una vez activo, el gusano se copia a si mismo a la carpeta Windows\System con el nombre LOAD.EXE.

  6. El gusano suplanta la librería RICHED20.DLL (esta librería deberá ser recuperada desde el CD de instalación luego de quitar el virus del sistema). Actúa entonces como una librería de enlace dinámica (DLL, Dinamically Link Library). Este DLL es utilizado por todas las aplicaciones que utilizan texto RTF (Rich Text Format). El formato RTF se suele considerar seguro al suplantar el formato .DOC sin peligro de virus de macros. Con esta acción, el virus se ejecutará cada vez que el usuario quiera abrir un archivo .RTF.



    7. También se copia en estas ubicaciones:


    También se crean copias en la carpeta de archivos temporales de Windows con nombres aleatorios con el patrón MEP*.TMP y MEP*.TMP.EXE, por ejemplo:


    Los archivos .EXE y RICHED20.DLL tienen atributos de ocultos (+H) y de sistema (+S), lo que hace que no puedan ser vistos dependiendo de la configuración de Windows.



  7. Modifica la sección [boot] del archivo SYSTEM.INI:

    8. [boot]

    shell=explorer.exe load.exe -dontrunold
    Esto hace que el gusano se active cada vez que Windows se reinicia. Es necesario volver el contenido de esta línea al estado como se indica a continuación, luego de la limpieza del sistema con un antivirus:

    [boot]

    shell=explorer.exe
  8. Se envía masivamente vía SMTP a todas las direcciones de correo encontradas en el sistema infectado. Eso incluye libretas de direcciones, y archivos en el caché del Explorer.
También intenta propagarse utilizando el mismo exploit del CodeBlue, la "variante" más reciente del CodeRed, aprovechándose de una conocida vulnerabilidad descubierta en octubre del 2000 (la llamada "Web server folder traversal vulnerability"), que permite que un archivo cualquiera pueda ejecutarse antes que otro cualquiera del sistema, siempre que esté en el directorio raiz. Existe un parche.
Como vemos, el gusano Nimda se aprovecha de numerosas vulnerabilidades, aunque todas conocidas.
Para prevenir la infección, los administradores de servidores IIS que no lo han hecho, deben descargar e instalar el mismo parche que se requería para evitar la acción del CodeRed.



SI DESEA ELIMINAR EL VIRUS NIMDA MANUALMENTE O AUTOMATICAMENTE Volver al index