Virus Nimda.D

Efectos:

Nimda.D se activa cuando el usuario ejecuta un fichero con extensión EXE, ya infectado, produciendo los siguientes efectos:

• Busca e infecta ficheros con extensión EXE, en todas las unidades de disco.
• Se reenvía automáticamente, mediante mensajes de correo electrónico en los que incluye el fichero SAMPLE.EXE infectado.
• Comparte la unidad de disco duro C: y se extiende a otras unidades de disco de la red.
• Se extiende a otros ordenadores, aprovechando las siguientes vulnerabilidades:
  -Vulnerabilidad que afecta a Internet Explorer (versiones 5.01 y 5.5), y que permite la ejecución automática de los ficheros adjuntos a los mensajes de correo.
  -Vulnerabilidad que afecta a los servidores Web IIS (Web Directory Traversal Exploit), mediante la cual modifica páginas Web. Esto produce la infección cuando se visita la página modificada.

• Modifica las páginas Web (ficheros con extensión HTM, ASP y HTML) que encuentra, para incluir en ellas una línea que permita abrir un fichero que el gusano ha creado previamente con el nombre README.EML.

Metodo de infección:

Para llevar a cabo su infección, Nimda.D realiza las siguientes acciones:

Nimda.D crea los siguientes ficheros:

• MEPXXXX.TMP y MEPXXXX.TMP.EXE en el directorio temporal de Windows, donde XXXX es una serie aleatoria de cuatro letras y números.
  El contenido de estos ficheros es el original del fichero, pero incluye el código del gusano.Ambos ficheros tienen asociado el atributo oculto.

• WININIT.INI en el directorio de Windows, encargado de borrar los ficheros MEPXXXX.TMP y MEPXXXX.TMP.EXE la próxima vez que se reinicie el ordenador.
• LOAD.EXE en el directorio de sistema de Windows (que es por defecto, C:\ WINDOWS\ SYSTEM o C:\ WINNT\ SYSTEM32).
  Su objetivo es la activación de Nimda.D en cada arranque del ordenador.

Nimda.D localiza y modifica los siguientes ficheros:

• SYSTEM.INI, incluyendo en él la siguiente línea:
  Shell=Explorer.exe Load.exe –dontrunold
• Aquellos que tienen extensión ASP, HTM o HTML. Cuando se abre o ejecuta alguno de estos ficheros modificados, se abre el fichero README.EML (creado previamente por el gusano) y que produce más infecciones.
• Aquellos que tienen alguno de los siguientes nombres: README, MAIN, INDEX o DEFAULT. Cuando se abre o ejecuta alguno de estos ficheros modificados, se abre el fichero README.EML, que produce más infecciones.

Nimda.D podrá infectar el mismo fichero en varias ocasiones, ya que nunca comprueba que éste haya sido infectado previamente.

Metodo de propagación:

Nimda.D se propaga a través del correo electrónico, servidores Web IIS y de redes de ordenadores con estaciones Windows 2000 y Windows NT.

1.- Propagación a través de correo electrónico.

Nimda.D realiza el siguiente proceso:

• Llega oculto en un mensaje con las siguientes características:
  Asunto: es variable.
  
  Texto: es variable.
  
  Fichero adjunto:
  SAMPLE.EXE
  El fichero SAMPLE.EXE, que contiene al gusano, tiene un tamaño de 57344 Bytes. Tiene formato MIME y está marcado como audio/x-wav.

• La infección se produce con la simple visualización de su contenido a través de la Vista previa del programa de correo.
  Esto sólo ocurrirá si Internet Explorer (versiones 5.01 y 5.5) no está actualizado.

• Nimda.D se reenvía automáticamente, incluido en mensaje de correo, a todas las direcciones que encuentra en los ficheros temporales de Internet y en la Libreta de direcciones.

2.- Propagación a través de redes.

Nimda.D comparte el disco duro C: del ordenador afectado, haciendo posible que otros ordenadores de la red tengan acceso a él. De este modo, Nimda.D provoca la infección de otros equipos.

Otros detalles:

Nimda.D es una de las variantes del gusano Nimda, aunque se diferencia de éste en varios aspectos. Estos son algunos ejemplos:

• Nimda.D está comprimido mediante la herramienta PECompact.
• Nimda.D contiene el siguiente texto dentro de su código:
  HoloCaust Virus.! V.5.2 by Stephan Fernandez.Spain