publicidadpublicidad publicidad
 

> Home > Antivirus > Enciclopedia de virus > Virus Nimda

Virus Nimda

La Peligrosidad varía según el Daño y la Propagación

Peligrosidad Peligrosidad media Propagación Propagación baja Daño Daño muy alto
 
 
Descripción Detalles Solución Estadísticas

Efectos:

Nimda se activa cuando el usuario ejecuta un fichero con extensión EXE ya infectado, o cuando el usuario abre los programas Word o WordPad.

A partir de ese momento, su único objetivo es extender su infección a otros ficheros del ordenador en que se encuentra, y a otros ordenadores conectados en red con éste o accesibles a través de Internet (a través del correo electrónico, servidores web IIS, etc).

Para conseguirlo, Nimda realiza las siguientes acciones:

  • Aprovecha las siguientes vulnerabilidades para propagarse a otros ordenadores:

    -Vulnerabilidad que afecta al navegador Internet Explorer, versiones 5.01 y 5.5, que permite la ejecución automática de los ficheros adjuntos de los mensajes de correo.

    -Vulnerabilidad que afecta a los servidores web IIS, llamada Web Directory Traversal Exploit. Nimda emplea esta vulnerabilidad para modificar las páginas web albergadas en dichos servidores, de modo que cuando un usuario las visite, quede afectado por Nimda.
  • Comparte todas las unidades de disco disponibles, y se propaga a todas ellas.
    Para conseguirlo, crea un nuevo usuario (guest) en los ordenadores con Windows 2003/XP/2000/NT. La creación de este usuario le permite a Nimda compartir las unidades de disco locales. En ordenadores con Windows Me/98/95, Nimda comparte todas las unidades de disco disponibles, sin asignar ninguna contraseña.
  • Busca ficheros con extensión EXE en todas las unidades de disco, y procede a infectarlos. Sin embargo, no infecta el fichero WINZIP.EXE.
  • Nimda puede llegar a agotar el espacio libre del disco duro mediante la creación de una gran cantidad de ficheros con extensiones EML y NWS.

Metodo de infección:

Para llevar a cabo su infección, Nimda realiza una serie de acciones. Algunas de ellas están destinadas a la infección de más ficheros, mientras que el objetivo de otras es la propagación a otros ordenadores.

Nimda crea los siguientes ficheros:

  • RICHED20.DLL en el directorio de sistema de Windows. Este archivo que contiene el código del gusano y tiene asociado el atributo oculto.
    De este modo, Nimda consigue activarse siempre que se trabaja con algún programa que utiliza esta DLL (librería de enlace dinámico), como por ejemplo, Word y Wordpad.
  • LOAD.EXE en el directorio de sistema de Windows (por defecto, C:\ WINDOWS\ SYSTEM en ordenadores con Windows Me/98/95, y C:\ WINNT\ SYSTEM32 en ordenadores con Windows 2003/XP/2000/NT).
    Este archivo es una copia del gusano y tiene asociado el atributo oculto, para que el usuario afectado no lo vea y no sea consciente de la infección.
  • README.EML en el directorio raíz de la unidad C:. Este archivo es una copia del mensaje de correo original en el que ha llegado Nimda, y contiene el fichero README.EXE.
  • ADMIN.DLL en las unidades de disco C:, D: y E: (si son accesibles). Este fichero es una copia del gusano.
    Nota: la existencia de este archivo no indica necesariamente que el ordenador haya sido afectado por Nimda , ya que también es un archivo que forma parte de la aplicación FrontPage Server Extension.
  • Nimda también crea una gran cantidad de archivos con extensiones EML y NWS. Éstos son mensajes de correo electrónico y archivos correspondientes a grupos de noticias, respectivamente.
  • Nimda también crea otras copias de sí mismo en el directorio temporal de Windows, como archivos con los siguientes nombres: MEP*.TMP.EXE o MEP*.TMP.
    Los archivos con extensión EXE serán una copia del archivo README.EXE, mientras que los archivos con extensión TMP contienen el mensaje de correo en el que Nimda ha llegado (estará cifrado).

Nimda modifica los siguientes archivos:

  • MMC.EXE, que originalmente es un archivo de la aplicación Management Console Application, existente en el directorio de Windows. Sin embargo, Nimda incluye su código de infección dentro de dicho archivo.
  • SYSTEM.INI, incluyendo en él la siguiente línea:
    Shell = Explorer.exe Load.exe –dontrunold
    Esto provoca la activación del archivo LOAD.EXE cada vez que se arranque el ordenador afectado.
  • WININIT.INI, en el que incluye la siguiente línea:
    NUL = C:\ Windows\ temp\ mep52b0.tmp.exe
    De este modo, la próxima vez que se reinicie el ordenador afectado, se borrará el archivo mep52b0.tmp.exe.

Nimda modifica las siguientes entradas en el Registro de Windows, para ocultar algunos de los archivos que utiliza:

  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced\ HideFileExt
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced\ Hidden
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced\ ShowSuperHidden

Nimda elimina la siguiente entrada en el Registro de Windows:

  • HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\
    lanmanserver\ Shares\ Security

    Con ello consigue desactivar la seguridad correspondiente a los recursos compartidos en ordenadores con Windows 2000 Pro y Windows NT.

Para infectar los servidores Web IIS (Internet Information Server), Nimda actúa del siguiente modo:

  • Modifica las páginas Web existentes en el servidor, insertando un script infectado en ellas. Estas páginas que modifica, corresponden a los siguientes archivos:

    INDEX.HTML, INDEX.HTM, INDEX.ASP, README.HTML, README.HTM, README.ASP, MAIN.HTML, MAIN.HTM, MAIN.ASP, DEFAULT.HTML, DEFAULT.HTM, DEFAULT.ASP.

  • Cuando el usuario abre alguna de las páginas mencionadas, se abre una nueva ventana del navegador en la que se visualizará el archivoREADME.EML.

    Si el navegador es Internet Explorer y éste no ha sido protegido contra la vulnerabilidad que aprovecha Nimda, se activa el archivoREADME.EXE incluido en el mensaje README.EML. Esto provoca la infección inmediata.

Además, aunque no es la vía más habitual de infección, Nimda también puede activarse cuando se ejecuta accidentalmente alguno de los archivos con extensión EML que el gusano ha creado en el disco duro.

Esto sucederá de forma inmediata si el Explorador de Windows está configurado para mostrar las carpetas en el estilo Web. En tal caso, basta un solo clic de ratón para activar el virus, ejecutando uno de estos ficheros.

Por este motivo, es conveniente configurar el Explorador de Windows para utilizar las carpetas clásicas de Windows, no permitiendo la existencia de contenido Web en las carpetas (Menú Veren el Explorador de Windows).

Metodo de propagación:

Nimda se propaga a través del correo electrónico, servidores web IIS y de redes de ordenadores con estaciones Windows 2003/XP/2000/NT.

1.- Propagación a través del correo electrónico.

Nimda realiza el siguiente proceso:

  • Llega oculto en un mensaje con las siguientes características:

    Remitente:
    Nimda falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones. Si desea más información al respecto, pulse aquí .

    Asunto: es variable.

    Contenido: es variable.

    Archivo adjunto:
    README.EXE

    El archivo README.EXE, que contiene al gusano, tiene un tamaño de 57334 Bytes. Además, tiene formato base64 y está marcado como audio/x-wav.
  • La infección se produce con la simple visualización de su contenido a través de la Vista previa del programa de correo. Esto sólo ocurrirá si Internet Explorer (versiones 5.01 y 5.5) no está convenientemente actualizado.
  • Nimda se reenvía automáticamente en un mensaje de correo, mediante SMTP. El envío de este mensaje tiene lugar 10 días después de la infección.
  • Nimda obtiene las direcciones de correo a las que se envía, de dos modos:
    - Buscándolas en el interior de los mensajes de correo existentes (recibidos y enviados). Esto lo consigue ejecutando una orden de carga o login al sistema de correo, mediante SimpleMAPI.
    - Buscándolas en el interior de los ficheros con extensiones HTM y HTML que se encuentren en el ordenador afectado.

2.- Propagación a través de servidores web IIS.

Nimda realiza el siguiente proceso:

  • Nimda busca servidores IIS que sean vulnerables, chequeando direcciones IP y enviando peticiones de tipo GET.
  • Nimda envía el archivo infectado ADMIN.DLL a cada servidor IIS vulnerable que encuentra, mediante TFTP.
  • Nimda ejecuta el archivo ADMIN.DLL en el servidor IIS, provocando su infección.
  • Finalmente, Nimda localiza el archivo MMC.EXE en el servidor IIS y sobrescribe el contenido de éste con su código de infección (este archivo corresponde a la aplicación Microsoft Management Console).

Nota:

  • Nimda también se propaga en servidores IIS que hayan sido afectados por el gusano Redcode. Esto lo consigue utilizando los ficheros ROOT.EXE y CMD.EXE existentes en directorios web cuyos ficheros se puedan activar de forma remota.

3.- Propagación a través de redes.

Nimda realiza el siguiente proceso:

  • Nimda se propaga a través de redes de ordenadores con estaciones Windows 2000 Pro/NT/Me/98/95.
  • En ordenadores con Windows 2000 Pro/NT, Nimda crea el usuario guest y lo incluye en el grupo de administradores. Después comparte las unidades de disco como %$ (letra de la unidad de disco compartida).
  • En ordenadores con Windows Me/98/95, Nimda comparte todas las unidades de disco disponibles, sin ninguna contraseña de acceso.
  • El objetivo de Nimda es detectar las unidades compartidas y copiarse en ellas como un archivo de extensión EML.

Otros detalles:

Nimda está escrito en el lenguaje de programación Visual C++.

Nimda contiene el siguiente texto, aunque no es mostrado en ningún momento:

Concept Virus(CV) V.5, Copyright(C)2001 R.P.China
 
 
 
Servicios

Buscador de internet

Callejero

Directorio de empresas

Directorio Web

Divisas

El Tiempo

Páginas amarillas

Páginas blancas

Traductor

 
Canales

ADSL

Alimentación

Horóscopo

Compras

Contactos

Formación

Juegos

Lotería

Monografías

Móviles

Viajes

 
Noticias

Noticias

Nacional

Regional

Internacional

Cultura y ocio

Economía y finanzas

Deportes

Sociedad

Ciencia y tecnología

Medicina y salud

 
Recomendamos

Dietas

 

Glosario

 

Weblog
Desarrolado por Hispanetwork