|
VSantivirus No. 480 - Año 6 - Miércoles 31 de octubre 2001
Los puntos sobre los Nimdas
Por Jose Luis
Lopez
Desde su descubrimiento, el pasado 18 de setiembre, han sido detectadas cinco variantes del Nimda, contando la original.
Lamentablemente, debido a los diferentes nombres que cada fabricante de antivirus suele ponerles, muchas veces se producen confusiones a la hora de diferenciar variantes que requieren diferentes acciones o actualizaciones de los productos antivirus, para ser detectados y eliminados.
El Nimda es uno de esos casos, y por ello, esta tabla de comparaciones que pretende ser una ayuda para tomar la acción correcta en caso de ser necesario.
NIMDA.A
Se trata del gusano original descubierto el 18 de setiembre de 2001.
La principal característica de este virus, es su capacidad de infectar nuestra computadora con varios métodos, e incluso, sin la necesidad de ejecutar ningún archivo o programa infectado. Simplemente con visitar una página Web maliciosa, o ver un mensaje de correo en la vista previa, podemos infectarnos.
Estos métodos incluyen envíos masivos a través del correo electrónico, propagación a través de recursos compartidos de red, uso de la vulnerabilidad conocida como "Web Folder Transversal" (usada también por el W32/CodeBlue), y la llamada "Incorrect MIME Header" para ejecutarse sin nuestra intervención. También intenta utilizar el "backdoor" creado por el gusano W32/CodeRed.c.
Las formas que el Nimda posee de acceder a nuestra computadora son las siguientes:
1. Correo electrónico
Es suficiente con ver un mensaje infectado para infectarnos. El virus llega en un mensaje con formato HTML, conteniendo varios objetos en su código. Uno de ellos, el archivo llamado README.EXE es interpretado erróneamente como un objeto de audio (audio/x-wav), por lo que el Explorer lo intenta abrir automáticamente. Resultado, la ejecución del virus en forma automática. Esta acción se produce debido a una vulnerabilidad en el Internet Explorer (Incorrect MIME Header), aplicación asociada a este tipo de objetos
--no es necesario abrir el mensaje en el Outlook Express para infectarnos, cualquier cliente de correo que soporte las extensiones HTML, suele abrir por defecto el Internet Explorer, dando lugar a la
infección--. Windows NT y 2000 no son afectados por este tipo de mensaje.
Una vez infectado un sistema, la propagación ocurre enviándose a su vez a direcciones de correo que son tomadas del tráfico de mensajes normal utilizado por las rutinas MAPI usadas por Outlook y Outlook Express, así como de documentos HTM y HTML descargados en el caché.
2. Página Web
Basta visitar una página Web infectada (el código del virus insertado en un script en Java), para que se proceda a la descarga y posterior ejecución del virus, el README.EXE, de tan solo 57 Kb, en forma automática y sin advertencia para el usuario.
En el servidor, el gusano modifica los archivos con extensiones .HTM, .HTML y .ASP para incluir la rutina en javascript capaz de descargar el archivo README.EXE a cada visitante a esas páginas (content-type audio/x-wav). Los archivos que pueden ser modificados son:
index.html
index.htm
index.asp
readme.html
readme.htm
readme.asp
main.html
main.htm
main.asp
default.html
default.htm
default.asp
Si alguna de ellas es visitada por cualquier usuario, el código modificado por el virus dentro de estas páginas HTML logra que se abra automáticamente el archivo README.EML (mensaje del Outlook Express con el archivo README.EXE adjunto). README.EXE también se ejecutará automáticamente.
Una vez infectado, el sistema se usa para buscar otros que puedan ser vulnerables a la infección, a través de Internet. Cómo esto genera mucha actividad de puertos escaneando la red, pueden ocurrir atascamientos e incluso la caída de un sistema.
3. Red local
El gusano examina todos los recursos accesibles de una red, dejando en ellos literalmente miles de copias de su código. La ejecución del mismo debe hacerse en forma manual. Sin embargo, el realizar tantas copias, puede servir de engaño para que un usuario sin experiencia, lo ejecute, provocando la infección de su máquina.
4. Programas infectados
Basta la ejecución de algún EXE infectado previamente por el gusano, para que la infección se siga propagando. De este modo, debemos ser cuidadosos antes de ejecutar ningún archivo recibido sin nuestro consentimiento, descargado de Internet, etc. La infección de un archivo EXE deja el cuerpo del virus en primer lugar, seguido del archivo original.
5. Ataques a servidores Web
El Nimda es capaz de aprovecharse de conocidas vulnerabilidades del IIS (del mismo modo que lo hacía el CodeRed por ejemplo), y realizar ataques a servidores bajo dicho software, que no hayan sido debidamente emparchados.
El gusano escanea direcciones IP en busca de servidores IIS vulnerables, y les envía un comando GET deliberadamente modificado para que la máquina atacada inicie una sesión TFTP para descargar el archivo ADMIN.DLL desde la computadora que envió el comando GET. Una vez descargado este archivo, el sistema remoto recibe las instrucciones para ejecutarlo, con lo cual infecta dicha máquina. En el caso de que falle la conexión TFTP, son creados múltiples archivos TFTP* en la carpeta TEMP de Windows. Todos ellos son copias del gusano. También es capaz de intentar utilizar el "backdoor" creado por W32/CodeRed.c para infectar.
Más información:
VSantivirus No. 438 - 19/set/01
A fondo: NIMDA, el gusano que pone en peligro a Internet
http://www.vsantivirus.com/nimda-a.htm
VSantivirus No. 440 - 21/set/01
Herramienta para remover el W32/Nimda.A
http://www.vsantivirus.com/kit-nimda.htm
NIMDA.B
Es una modificación ligera del Nimda original, pero comprimida con la utilidad PCShrink, en un intento de evadir la detección de algunos antivirus. Actualmente, todos los virus conocidos reconocen sin problemas esta variante
Además, los archivos adjuntos "README.EXE" y "README.EML" son reemplazados por "PUTA!! ·SCR" y "PUTA!! ·EML."
Más información:
VSantivirus No. 456 - 7/oct/01
W32/Nimda.B. Una variante compactada del peligroso gusano
http://www.vsantivirus.com/nimda-b.htm
NIMDA.C
Es el Nimda.a sin otra modificación que estar comprimido con la utilidad UPX. Cómo el anterior, los antivirus actualizados lo reconocen perfectamente.
Más información:
VSantivirus No. 462 - 13/oct/01
W32/Nimda.C. Nueva variante comprimida del virus
http://www.vsantivirus.com/nimda-c.htm
NIMDA.D
Versión ligeramente modificada del Nimda original. Es el Nimda.a pero comprimido con la herramienta PECompact. Las pequeñas modificaciones solo afectan el texto que aparece en su código. En lugar de
"Concept Virus(CV) V.5, Copyright(C)2001 R.P.China", incluye este texto:
HoloCaust Virus.! V.5.2 by Stephan Fernandez.Spain
Esta versión no ha sido reportada por todos los antivirus, de allí que la versión Nimda.e, fuera detectada como Nimda.d por varios vendedores de antivirus.
Más información:
VSantivirus No. 479 - 30/oct/01
Virus: W32/Nimda.D (Para algunos antivirus es el Nimda.E)
http://www.vsantivirus.com/nimda-d.htm
NIMDA.E (detectado por algunos como Nimda.d)
Se trata de una verdadera recompilación del Nimda, con todas sus rutinas arregladas y perfeccionadas.
Detectado a finales de octubre de 2001, estas son algunas de las diferencias que presenta:
1. El nombre del archivo adjunto es SAMPLE.EXE (en lugar de README.EXE)
2. Los archivos de DLL son HTTPODBC.DLL y COOL.DLL (en lugar de ADMIN.DLL)
3. El comentario original en su código "(Concept Virus(CV) V.5, Copyright(C)2001
R.P.China)", es cambiado por "Concept Virus(CV) V.6, Copyright(C)2001, (This's CV, No
Nimda.)".
Más información:
VSantivirus No. 480 - 31/oct/01
Virus: W32/Nimda.E. Versión recompilada y sin errores
http://www.vsantivirus.com/nimda-e.htm
VSantivirus No. 480 - 31/oct/01
Herramienta para remover el W32/Nimda.E
http://www.vsantivirus.com/kit-nimda-e.htm
Información complementaria:
VSantivirus No. 440 - 21/oct/01
Herramienta para remover el W32/Nimda.A
http://www.vsantivirus.com/kit-nimda.htm
VSantivirus No. 449 - 30/set/01
Nimda. Un estudio a fondo de las técnicas de desinfección
http://www.vsantivirus.com/nimda-desinf.htm
VSantivirus No. 465 - 16/oct/01
Dos nuevas variantes del Nimda reportadas en Corea
http://www.vsantivirus.com/16-10-01b.htm
VSantivirus No. 462 - 13/oct/01
Extraños comportamientos del Nimda
http://www.vsantivirus.com/13-10-01b.htm
VSantivirus No. 451 - 2/oct/01
No acepte herramientas que dicen limpiar el Nimda
http://www.vsantivirus.com/02-10-01b.htm
VSantivirus No. 447 - 28/set/01
Nimda vuelve al ataque. La pesadilla de los 10 días
http://www.vsantivirus.com/28-09-01.htm
VSantivirus No. 441 - 22/set/01
Troj/Shake. Se distribuye como una copia del NimDA
http://www.vsantivirus.com/shake.htm
VSantivirus No. 439 - 20/set/01
Virus como el Nimda ponen a prueba el futuro de Internet
http://www.vsantivirus.com/20-09-01.htm
Alerta: Gusano de gran propagación (W32/Nimda)
http://www.vsantivirus.com/alerta-minda.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|