1. El archivo adjunto ahora se llama SAMPLE.EXE
2. El DLL generado por el virus se llama HTTPODBC.DLL.
3. Se copia a si mismo en Windows\System como CSRSS.EXE.

Algunos de estos nombres corresponden a archivos válidos del sistema en Windows NT/2000.

HTTPODBC.DLL es una extensión IIS, responsable del acceso a bases de datos a través de Internet, utilizando el protocolo HTTP y presente en máquinas con Windows NT/2000.

El gusano se copia también como LOAD.EXE y RICHED20.DLL, ambos con los atributos de ocultos (+H).

El virus altera el archivo SYSTEM.INI bajo la etiqueta "[boot]" para incluir la siguiente línea:

shell=explorer.exe load.exe -dontrunold

Esto habilita su ejecución en cada reinicio de Windows.

Otra pequeña diferencia es el nombre de su mutex (marca que indica la presencia, del virus en memoria), fsdhqherwqi2001, ahora es:

efqpm2300dfhroop

El virus examina los sistemas en busca de servidores IIS (Internet Information Server), para generar direcciones IP al azar y enviar solicitudes HTTP GET maliciosas. Cuando una máquina vulnerable es localizada, el virus se copia a si mismo como HTTPODBC.DLL y se autoejecuta.

El código del virus contiene el siguiente texto (el "R.P.China") el cuál ha sido suplantado por "(This's CV No Nimda.)":

Concept Virus (CV) V.6 Copyright(C) 2001, (This's CV No Nimda.)

Acciones maliciosas

El gusano posee la habilidad de causar un significante aumento del tráfico HTTP, enviando tal cantidad de solicitudes capaces de causar un ataque de negación de servicio (D.o.S).

Como también puede propagarse vía e-mail a través de rutinas MAPI, ocasiona un aumento de tráfico capaz de ocasionar también ataques de negación de servicios.

Otra de sus características, es la de borrar las páginas web por defecto (hackeo de páginas), y además puede propagarse a través de recursos compartidos de redes. Esto último dificulta su eliminación de un sistema infectado, hasta que no se proceda a aislar cada PC desconectándolo físicamente de la red, antes de proceder a limpiarlos.

Medidas preventivas

Evitar o bloquear cualquier adjunto llamado SAMPLE.EXE

Asegurarse que todos los servidores IIS instalados, tengan aplicados los siguientes parches:

Web server folder traversal vulnerability
www.microsoft.com/technet/security/bulletin/ms00-078.asp

Incorrect MIME header vulnerability
www.microsoft.com/technet/security/bulletin/MS01-020.asp

Más información oficial de Microsoft sobre el Nimda:
http://www.microsoft.com/technet/security/topics/Nimda.asp

Más parches conocidos:
www.microsoft.com/technet/itsolutions/security/current.asp

Más información:

VSantivirus No. 480 - 31/oct/01
Los puntos sobre los Nimdas
http://www.vsantivirus.com/31-10-01.htm

VSantivirus No. 480 - 31/oct/01
Herramienta para remover el W32/Nimda.E
http://www.vsantivirus.com/kit-nimda-e.htm

VSantivirus No. 438 - 19/set/01
A fondo: NIMDA, el gusano que pone en peligro a Internet
http://www.vsantivirus.com/nimda-a.htm

VSantivirus No. 440 - 21/set/01
Herramienta para remover el W32/Nimda.A
http://www.vsantivirus.com/kit-nimda.htm

VSantivirus No. 449 - 30/set/01
Nimda. Un estudio a fondo de las técnicas de desinfección
http://www.vsantivirus.com/nimda-desinf.htm

VSantivirus No. 456 - 7/oct/01
W32/Nimda.B. Una variante compactada del peligroso gusano
http://www.vsantivirus.com/nimda-b.htm

VSantivirus No. 462 - 13/oct/01
W32/Nimda.C. Nueva variante comprimida del virus
http://www.vsantivirus.com/nimda-c.htm

VSantivirus No. 479 - 30/oct/01
Virus: W32/Nimda.D (Para algunos antivirus es el Nimda.E)
http://www.vsantivirus.com/nimda-d.htm

Glosario:

IIS (Internet Information Server) - Es el servidor web que se instala bajo Windows 2000 Server.

MAPI (Messaging Application Programming Interface). Se trata de una interface de programación para aplicaciones que gestionen correo electrónico, servicios de mensajería, trabajos en grupo, etc.


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com