ALERTA VIRAL # 01-15
* * * * * EL NIMDA * * * * *
ALERTA VIRAL # 01-15
* * * * * EL NIMDA * * * * *
Nombre: W95/Nimda.A@mm
Alias: Nimda, W32.Nimda.A@mm, W32/Nimda@MM,
W32/Nimda-A
Tipo: Gusano Internet
Notas Preliminares:
El día
18 de septiembre del 2001, miles de equipos en todo el mundo se vieron
atacados por el virus Nimda. Este es un virus - gusano - puerta trasera
- troyano - conejo - macrovirus y todas las demás clasificaciones
de programa malicioso que se han conocido. Tiene de todo. Incluyendo la
de programa con errores, errores que por desgracia son fatales en muchos
casos.
Hablar de todas sus características es materia de un escrito extenso que los investigadores están documentando a fondo. En tanto el análisis concluye, presentamos aquí un breve perfil:
Entra prácticamente
por todo resquicio imaginable: por infección
directa al estilo de los virus convencionales, por
aprovechamiento de vulnerabilidades
del paquete Internet Information Server, versiones 4 y 5 de Microsoft
(que es habitual en los servidores NT y 2000), por
copia de archivos a todo directorio local y de red accesible,
por envío masivo de correos electrónicos
(cuenta con su propio servidor de correo, por lo que de nada sirve apagar
los servidores de correo), por siembra de
un archivo (ADMIN.DLL de donde toma su nombre al invertir la parte ADMIN)
que permite a los hackers tomar control del equipo infiltrado a placer,
por inserción de código javascript en las páginas
html que encuentre a su paso y por los medios
adicionales que se vayan descubriendo en las próximas horas.
El Nimda actúa de manera fulminante: un disco de 8 GB puede ser arrasado en 5 minutos al infectar de manera irreparable la mayoría de los ejecutables (tipo PE, es decir, los EXE de Windows) forzando el reformateo del disco, lo que en los servidores NT puede ser particularmente grave. Los directorios del sistema (C:\Windows o C:\Winnt por ejemplo) se saturan de copias temporales del virus con nombres como mepxx.tmp o mepxx.tmp.exe, donde "xx" es un número hexadecimal.Los directorios de sitios web se inundan con archivos de extensiones "msg" o "eml" (Mensajes de Outlook) y "nws" (Mensajes de noticias, también manejables por Outlook) que contienen el virus, pero cuya presencia en esas carpetas tiene un objetivo: dado que el virus inserta código javascript en las páginas html para activar los programas clientes de correo de los cibernautas que accesen esas páginas, conviene tener a la mano los fuentes del virus.
Por errores que
el virus contiene, llegado cierto punto, los equipos infectados se inhiben
para no arrancar más. Si el punto se alcanza y se logra apagar la
máquina antes, el Nimda se asegura otra oportunidad al instalarse
en el archivo System.ini (load.exe -dontrunold) y en el registro
de Windows. No se descarta la existencia de otros recursos, ya que contiene
también partes cifradas (encriptadas) así como algún
grado de polimorfismo (mutación), pues las cadenas de texto que
contiene no tienen la misma extensión en cada archivo que infecta.
PRECAUCIONES
Una vez que el
Nimda pega, solo restan algunas medidas drásticas, pero ya es posible
detenerlo. Se recomienda alerta frente a archivos anexos a mensajes de
correo con el nombre "readme.exe" y que miden unos 70 KB (el virus mide
unos 57 KB aproximadamente). Si usted usa Outlook o Outlook Express, recomendamos
instalar un firewall como Zone Alarm, ya que esos programas de correo pueden
ejecutar el anexo incluso si el mensaje no se abre.
PROTECCION
Las definiciones de virus publicadas el 18 de septiembre del 2001 permiten detectar, interceptar y borrar los archivos ejecutables (EXE y DLL principalmente) infectados. Esos archivos, no se pueden descontaminar por el daño que se les causa. Los archivos html si pueden ser descontaminados, pero por ahora solo se puede hacer a mano con un editor de textos. Use el localizador de archivos de Windows para borrar todos los archivos que satisfagan las máscaras siguientes: mep*.tmp, mep*.exe, *.msg, *.nws, *.eml.
Aplique los siguientes Parches:
IIS 4 o 5 para NT Server o Win2k Server
Internet
Explorer 5.01 o IE 5.5
Fuente: Ingeniería y Tecnología Avanzada, SA de CV. Datos
recabados por el
Departamento de Soporte de ITASA con base en investigación documental
y experimental.
Redicom, S.R.L de C.V. Departamento de Soporte Técnico
con base en investigación documental y experimental.
--------------------------------------------------------------------
Regresar a página de CSAV