Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Nimda. Un estudio a fondo de las técnicas de desinfección
 
VSantivirus No. 449 - Año 5 - Domingo 30 de setiembre 2001

Nimda. Un estudio a fondo de las técnicas de desinfección
Por Redacción VSAntivirus

Nimda es un nuevo tipo de virus. Y lo que ha hecho que se propague tan ampliamente, es su capacidad de infectarnos tanto a través del correo electrónico, como al visitar un sitio Web infectado.

Puede ver una descripción más completa del virus en nuestro sitio:

VSantivirus No. 438 - 19/set/01
A fondo: NIMDA, el gusano que pone en peligro a Internet

La propensión de Nimda por buscar servidores vulnerables, genera un problema tan grave como la propia infección que produce. El gusano es capaz de crear grandes atascos en Internet. Los servidores web están tan ocupados rechazando o aceptando los sondeos del Nimda, que pueden llegar al punto crítico y colapsar. El resultado para los usuarios que navegan Internet, es una red mucho más lenta e incluso sitios inaccesibles por largos períodos de tiempo.

Como vimos, Nimda es un gusano de propagación sumamente rápida, y además un virus capaz de infectar archivos ejecutables. El virus no examina si un archivo está ya infectado, pudiendo reiterar la infección.

Puede llegar como un adjunto embebido en un mensaje, con el nombre de README.EXE, generalmente sin texto alguno, y muchas veces sin asunto.

Lo que lo hace más peligroso que otros similares, es el poder ejecutarse sin necesidad que el usuario abra archivo alguno. Utiliza para ello una vulnerabilidad conocida del Internet Explorer, que afecta a todos los clientes de correo basados en aquél, y que permite la ejecución automática de un adjunto (Automatic Execution of Embedded MIME type).

El mensaje infectado contiene el adjunto como un ejecutable registrado como "audio/x-wav", haciendo que cuando el destinatario ve el mensaje (incluso en la vista previa), se abra la aplicación predefinida para archivos de este tipo. Normalmente, es el Windows Media Player. El archivo EXE incluido no puede verse en Outlook (no confundir con Outlook Express). 

Pero quienes piensen que por usar otros clientes de correo como Netscape Mail, Eudora u otros, están protegidos, se equivocan.

Si bien en estos programas no ocurre lo de la ejecución automática, si se puede infectar una computadora si el usuario abre el adjunto en forma normal. Existe una falsa sensación de seguridad que a veces se da entre quienes usan estos programas, y muchas veces esto lleva a olvidar lo obvio.

Y también por visitar un sitio Web infectado, usted puede infectarse.

Las cuatro maneras de propagarse del virus, son a través del correo electrónico, a través de unidades compartidas en red, vía servidores IIS que no han sido parcheados (el parche es similar al que evita la propagación del CodeRed), y también por medio de archivos infectados.

Puede acechar en cualquier parte y puede infectar a la mayoría de las computadoras, con tal que estén ejecutando Windows 95, 98, NT, 2000 o Me.

La rutina de envío del gusano es activada en ciclos de 10 días. En raras ocasiones se activa después del día 11.

La entrada del registro que el virus utiliza como contador de fecha es la siguiente:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer
MapMail, Cache

Cuando el gusano se ejecuta, el mismo revisa si allí existe un valor de 10, u ocasionalmente 11 (un punto por cada día).

Si ello se cumple, entonces ejecuta su rutina de propagación y se resetea el contador.

Para enviar copias de si mismo a otros, el gusano recoge direcciones de correo utilizando rutinas APIs y MAPI, una interface de programación para la gestión del correo electrónico. De este modo, no depende de ningún programa para hacerlo. Ni tampoco para enviarse, ya que utiliza sus propias rutinas SMTP para ello.

Cuando envía sus mensajes, el gusano pone a cero el contador de los 10 días, comenzando otra cuenta regresiva.

La limpieza

No es posible confiar plenamente en la limpieza de un servidor luego de una infección. A nivel doméstico, es menos crítico, pero no menos peligroso.

Aplique los procedimientos que se indican en nuestro artículo
A fondo: NIMDA, el gusano que pone en peligro a Internet

Si con ello elimina el virus de su sistema, no es necesario que siga leyendo.

Pero si no ha podido deshacerse del virus, o administra un servidor Web que ha sido infectado, a continuación podrá encontrar información ampliada para procedimientos de limpieza más drásticos.

Aún cuando algunos componentes haya sido removidos por los antivirus, si ocurre otro ataque (que ocurrirá), los recursos abiertos por la primera infección podrían ser un campo fácil de explotar. Y estos recursos no son tan obvios para un antivirus.

Recordemos las cosas básicas que deja el NIMDA en su PC (Windows NT y 2000), luego de una infección:

1. Habilita la cuenta Guest. Esto puede dejar la cuenta habilitada en todo el dominio.

2. Cuenta Guest agregada al grupo de administradores. Esta cuenta también se agrega al dominio del mismo grupo del administrador.

3. Modificaciones del registro. Las claves LanManServer\Parameters, son borradas en un esfuerzo para quitar el valor AutoShareServer que podría impedir la disponibilidad de C$. En otros casos se crean recursos C$, D$, bajo esta clave.

4. Son modificados numerosos archivos críticos del sistema, incluso archivos del directorio DLLCACHE, donde es cuestionable que un antivirus pudiera limpiarlos. Si ello ocurriera, la funcionalidad SSL es probable no funcionara después de la limpieza.

Los riesgos son grandes, porque se dejan recursos compartidos abiertos, por los que un atacante (u otro troyano en forma indirecta), podría acceder al sistema, y recuperar o instalar otras herramientas de acceso remoto, o incluso habilitar una nueva infección.

Las opciones que se dan para servidores son las siguientes:

a. Si desea un reinicio rápido del sistema.

Desconéctelo de TODO recurso compartido, restáurelo de un respaldo reciente (anterior al virus), o reformatee y reinstale todo de cero. Cargue los parches recomendados. Restaure solo LOS DATOS, aún cuando estuvieran infectados. Ejecute la herramienta limpiadora de un antivirus, y vuelva a examinar su sistema con dos o tres antivirus al día. Si todo da OK, vuelva a conectarlo a la red.

También puede usar algunos de los siguientes limpiadores. Pruebe varios limpiadores, aquí le damos los enlaces a algunos:

http://securityresponse.symantec.com/avcenter/Fixnimda.com
ftp://ftp.kaspersky.ru/utils/AntiNimd.zip
www.bysupport.cl/Soporte_Tecnico/biblioteca/fichasvirus/W32nimda/NimdaScn.zip
ftp://ftp.ca.com/pub/InocuLAN/CleanNimda.zip
www.datafellows.com/download-purchase/nimda-fix/fsnimda1.exe
http://www.avp-mx.com/dwn/utilerias/AvxNimda-es.zip

Insista varias veces. Por las características del virus, muchas veces es necesario repetir el procedimiento de 2 a 5 veces.

b. Opción más larga y segura (aplicable también en Windows 9x, Me, NT y 2000).

1. Asegúrese de que la red sea inalcanzable a cualquier costo (sacando el cable de red, conexión telefónica, etc.)

2. Detenga los siguientes procesos que son indicativos del gusano:

MMC.EXE
LOAD.EXE
README.EXE
MEP*.TMP.EXE

3. Examine TODOS los archivos (configure su antivirus para que revise TODOS los archivos, sin importar la extensión, lo que será un proceso largo y tedioso).

4. Asegúrese de que TODOS los archivos que son detectados con virus pero no son limpiados, son renombrados o borrados (o puestos en cuarentena en un directorio aparte).

5. Busque y borre (si no son borrados por el antivirus), los siguientes archivos:

MMC.EXE (C:\Windows)
LOAD.EXE
(C:\Windows\System)
ADMIN.DLL
(en la raiz de toda las unidades de disco duro)
RICHED20.DLL
(qué podría encontrarse en todas las carpetas en todas las unidades de disco duro locales).

6. Borre todas los archivos con extensión .EML y .NSW en carpetas que no sean las que usted guardó expresamente archivos con esas extensiones. Y en ese caso, siempre que no estuvieran infectadas.

7. Restaure el archivo RICHED20.DLL limpio en \Windows\System (o \WinNT\System32\). Este archivo es un DLL legítimo de Windows, que utilizan aplicaciones como WordPad (vea como hacerlo en
A fondo: NIMDA, el gusano que pone en peligro a Internet) .

8. Asegúrese de que el archivo SYSTEM.INI en la carpeta C:\Windows tenga la línea "shell=explorer.exe", en lugar de "shell=explorer.exe load.exe -donotloadold".

9. Si existe en C:\Windows el archivo WININIT.INI, busque y borre cualquier línea que incluya la cadena "mep[cualquier caracter].tmp.exe".

10. Borre todos los archivos de la carpeta de archivos temporales (generalmente C:\Windows\TEMP).

11. Asegúrese que todos los recursos compartidos en la computadora especificada, tenga los derechos de acceso correctos. El gusano intenta cambiar a los niveles de seguridad más bajos, para hacer esos recursos accesibles a todos. Asegúrese de verificar los valores para todos los recursos compartidos del tipo *$.

12. Verifique los siguientes seteos de seguridad en el registro:

SOFTWARE\Microsoft\Windows\CurrentVersion\Network\LanMan\[C$-Z$]

En Win2000:

SYSTEM\CurrentControlSet\Services\lanmanserver\Shares\Security

13. Quite la cuenta "Guest" y renuévala con los derechos de acceso correctos. Por otra parte la cuenta "Guest" no debería estar en el grupo "Administrators".

14. Examine que NINGUN archivo *.html, *.asp, tenga en su código referencias a archivos readme.eml o readme.nsw. Busque y borre la línea siguiente si existe en ellos (generalmente 
al final de su código):

<html><script language="JavaScript">window.open("readme.eml", 
null, "resizable=no,top=6000,left=6000")</script></html>

15. Restaure las conexiones de la red y reinicie el sistema.

Usuarios de Windows Me

Para limpiar el sistema en Windows Me, deberá primero deshabilitar la herramienta "Restaurar sistema" como se indica a continuación.

1. Pulse con el botón derecho sobre el icono Mi PC del escritorio
2. Pinche en la lengüeta "Rendimiento"
3. Pinche sobre el botón "Sistema de archivos" en "Configuración avanzada"
4. Seleccione la lengüeta "Solución de problemas"
5. Marque la casilla "Deshabilitar Restaurar sistema"
6. Pinche en el botón "Aplicar"
7. Pinche en el botón "Cerrar" de Propiedades de Sistema de archivos
8. Pinche en el botón "Cerrar" de Propiedades de Sistema
9. Cuando se le pregunte si desea reiniciar el sistema conteste que SI

De este modo la utilidad "Restaurar sistema" quedará deshabilitada

Luego reinicie la computadora en "Modo a prueba de fallos" (pulse F8 o mantenga CTRL pulsada al reiniciar la computadora), y ejecute un antivirus al día para borrar los archivos infectados.

Para volver a habilitar la herramienta "Restaurar sistema", reitere los pasos anteriores, desmarcando la casilla "Deshabilitar Restaurar sistema" en el punto 5.

A tener en cuenta

Sin un reinicio, la mayoría de las veces es imposible limpiar todos los archivos, y eso podría causar la re-infección. La recomendación de McAfee por ejemplo, es detener el IIS y todas las aplicaciones, e instalar los parches, reiniciando cuando esos parches lo soliciten.

No vale de nada limpiar archivos .HTML o .ASP infectados con el virus activo o con posibilidad de activarse. Una vez que modificamos un archivo de este tipo, el mismo volverá a ser infectado por el virus.

Debe limpiar todos los archivos *.EXE infectados. Si no lo hace, los archivos infectados volverán a infectar todo lo demás.

Restaure las conexiones de red solamente si todas las computadoras de la red fueron desinfectadas. De lo contrario, será inútil toda limpieza que se haya hecho.

Parches de Microsoft

Usuarios domésticos:

Aplicar los siguientes parches:

www.microsoft.com/technet/security/bulletin/MS01-020.asp
www.microsoft.com/technet/security/bulletin/MS01-027.asp

Instalar alguna de estas opciones, de acuerdo a su sistema;

Instalar Internet Explorer 5.01 Service Pack 2 (si corresponde)
www.microsoft.com/windows/ie/downloads/recommended/ie501sp2/default.asp

Instalar Internet Explorer 5.5 Service Pack 2 (si corresponde)
www.microsoft.com/windows/ie/downloads/recommended/ie55sp2/default.asp

Instalar Internet Explorer 6
http://www.microsoft.com/windows/ie/downloads/ie6/default.asp

Puede obtener más información de los parches necesarios en este enlace:

VSantivirus No. 271 - 05/abr/01
Crónica de una vulnerabilidad anunciada

Servidores:

Ejecutar la herramienta para examinar vulnerabilidades:
http://www.microsoft.com/technet/security/tools/redfix.asp

Aplicar los parches en este orden:
www.microsoft.com/technet/security/bulletin/MS01-033.asp
www.microsoft.com/technet/security/bulletin/MS01-044.asp

Instalar Windows NT 4.0 Security Roll-up Package si corresponde:
www.microsoft.com/downloads/release.asp?ReleaseID=31240

Ejecutar IIS Lockdown Tool en su opción por defecto
http://www.microsoft.com/technet/security/tools/locktool.asp

Instalar URLScan tool con sus reglas por defecto
http://www.microsoft.com/technet/security/URLScan.asp

Para bloquear la vulnerabilidad "Web Server Folder Traversal"

Aplicar estos parches en este orden:

www.microsoft.com/technet/security/bulletin/ms00-057.asp
www.microsoft.com/technet/security/bulletin/ms00-078.asp
www.microsoft.com/technet/security/bulletin/ms00-086.asp
www.microsoft.com/technet/security/bulletin/ms00-026.asp
www.microsoft.com/technet/security/bulletin/MS01-044.asp

Instalar Windows 2000 Service Pack 2 (si corresponde)
www.microsoft.com/windows2000/downloads/servicepacks/sp2/default.asp

Instalar Windows NT 4.0 Security Roll-up Package si corresponde:
www.microsoft.com/downloads/release.asp?ReleaseID=31240

Ejecutar IIS Lockdown Tool en su opción por defecto
http://www.microsoft.com/technet/security/tools/locktool.asp

Instalar URLScan tool con sus reglas por defecto
http://www.microsoft.com/technet/security/URLScan.asp

Más información:

VSantivirus No. 438 - 19/set/01
A fondo: NIMDA, el gusano que pone en peligro a Internet

Glosario:

API (Application Program Interface). Interfaz de programa de aplicación. Un conjunto de rutinas que un programa de aplicación utiliza para solicitar y efectuar servicios de nivel inferior ejecutados por el sistema operativo de un equipo. También, un conjunto de convención de llamada en programación que definen cómo se debe invocar un servicio a través de la aplicación.

MAPI (Messaging Application Programming Interface). Se trata de una interface de programación para aplicaciones que gestionen correo electrónico, servicios de mensajería, trabajos en grupo, etc.

SMTP (Simple Mail Transport Protocol). Protocolo simple de transferencia de correo. Es el protocolo más utilizado en Internet para el envío de correo electrónico.


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2001 Video Soft BBS