Controlado desde el
19/10/97 por NedStat
|
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro
visitante número desde
el 12 de agosto de 1996
Nimda vuelve al ataque. Se activa cada 10 días
|
|
VSantivirus No. 447 - Año 5 - Viernes 28 de setiembre 2001
Nimda vuelve al ataque. La pesadilla de los 10 días
Por Redacción
VSAntivirus
De acuerdo a análisis recientes de este gusano (la descripción en referencias al pie de este artículo), el mismo contiene código que le permite actuar agresivamente en periodos determinados de tiempo.
Según esto, cada 10 días el virus puede activar su mayor cuota de propagación.
Cómo la fecha de surgimiento del gusano fue el 18 de setiembre (curiosamente a la semana y casi la misma hora del atentado terrorista a los Estados Unidos), hoy 28 se estaría cumpliendo el primer ciclo de esos 10 días.
A la fecha, se estiman en 450,000 direcciones IP infectadas (entre máquinas domésticas y servidores IIS).
Nimda es un gusano sumamente agresivo capaz de distribuirse de cuatro diferentes maneras, entre ellas el correo electrónico y ataques a servidores Web.
Las recomendaciones son aplicar los parches sugeridos.
Posiblemente la magnitud de la nueva ola de infecciones, no sea tan violenta como la primera, en parte porque todos los productos antivirus están preparados para detectarlo e interceptarlo, y por haberse aplicado en muchos casos los parches respectivos.
A pesar de ello, se espera detectar a partir de hoy, al menos un aumento de la cantidad de infecciones, en relación a los últimos 5 días.
También conocido como "readme.exe" y "W32/Nimda" el gusano es el primero conocido, en usar cuatro métodos diferentes para infectar no solo computadoras domésticas corriendo Windows 95, 98, Me y 2000, sino también a servidores bajo Windows 2000.
Por un lado, se envía por correo, como un enlace capaz de ejecutarse sin necesidad de que el usuario haga doble clic sobre él. La infección ocurre por el simple acto de leer el mensaje o de verlo en la vista previa.
Por otro, es capaz de infectar servidores Web que no han aplicado los parches recomendados (los mismos que evitan la propagación del CodeRed), siendo vulnerables las computadoras corriendo IIS (Internet Information Server), el servidor web que se instala en Windows 2000 Server.
El gusano infecta las páginas principales de estos servidores, de modo que el usuario que las visita, puede infectarse sin necesidad de pinchar sobre ningún enlace, por medio de un código en JavaScript que explota una vulnerabilidad en el Internet Explorer (la versión 6.0 es inmune a esta falla, por lo que recomendamos su instalación).
También se copia a las unidades de disco compartidas en computadoras conectadas en red.
En las máquinas infectadas, el gusano borra varios archivos críticos y añade su script a los archivos HTML.
El componente del gusano envía mensajes infectados cada 10 días, a contar desde la primera infección producida en dicha máquina.
Las computadoras infectadas que han sido limpiadas correctamente, no están en peligro, sino solo aquellas que o bien, aún permanecen infectadas, o han sido mal desinfectadas.
Justamente este último punto es bastante problemático, debido a la forma de actuar del gusano.
En el caso de servidores NT, por ejemplo, no es posible confiar plenamente en una limpieza total luego de una infección.
Aún cuando algunos componentes hayan sido removidos por los antivirus, si ocurre otro ataque (como los que se prevén ahora), los recursos compartidos abiertos por la primera infección podrían ser un campo fácil de explotar. Y estos recursos no son tan obvios para un antivirus.
En nuestro próximo boletín, brindaremos amplia información sobre toda esta problemática, así como las indicaciones para una limpieza más específica del mismo.
Por lo pronto, actualice los parches de sus programas si no lo ha hecho todavía, y mantenga al día sus antivirus.
Para prevenir la infección, los administradores de servidores IIS que no lo han hecho, deben descargar e instalar el mismo parche que se requería para evitar la acción del CodeRed.
Microsoft Security Bulletin (MS01-044)
www.microsoft.com/technet/security/bulletin/MS01-044.asp
VSantivirus No. 407 - Año 5 - Domingo 19 de agosto de 2001
Cinco nuevas fallas en IIS (MS01-044)
Los usuarios de Internet Explorer 5.01 y 5.50 que no lo han hecho, deben bajar e instalar el parche que corrige la vulnerabilidad "Incorrect MIME Header Can Cause IE to Execute E-mail Attachment", realizada el 25 de mayo de 2001. Esta vulnerabilidad permite la ejecución de un archivo adjunto por el simple hecho de leer el mensaje:
Microsoft Security Bulletin (MS01-020)
www.microsoft.com/technet/security/bulletin/MS01-020.asp
Este artículo le ayudará a definir los parches correctos:
VSantivirus No. 271 - Año 5 - Jueves 5 de abril de 2001
Crónica de una vulnerabilidad anunciada
Se recomienda configurar el Outlook y Outlook Express de la forma que se indica en este artículo:
VSantivirus No. 366 - Año 5 - Lunes 9 de julio de 2001
Consejos: Outlook y Outlook Express más seguros
Los usuarios de Internet Explorer 6.0 no requieren parches.
Nota: Si se actualiza a la versión más nueva del explorador no es necesario el parche. Puede bajar el Internet Explorer 6, desde el
link
en nuestra página.
Desde allí, bajará el instalador de la versión en español
("ie6setup.exe", de 500Kb aprox.). Ejecútelo luego en su PC, SIN DESCONECTARSE de Internet, y la instalación lo irá guiando.
Es importante tener en cuenta que un sistema sin el parche mencionado, es capaz de ejecutar automáticamente los archivos .EML si el Internet Explorer tiene habilitada la opción Permitir la existencia de contenido Web en las carpetas.
Para evitar ello, seleccione Inicio, Configuración, Opciones de carpetas, y marque la opción Utilizar carpetas clásicas de Windows, en lugar de Permitir la existencia de contenido Web en las carpetas.
Referencias:
VSantivirus No. 438 - Año 5 - Miércoles 19 de setiembre 2001
A fondo: NIMDA, el gusano que pone en peligro a Internet
VSantivirus No. 440 - Año 5 - Viernes 21 de setiembre 2001
Herramienta para remover el W32/Nimda.A
(c) Video Soft - http://www.videosoft.net.uy
|
|
|