19/09/01

NOTICIAS

Code Red + SirCam = Nimda


[Económica]
[Seguridad]
[Nuevos Virus]
[Nuevos Productos]
[Otras noticias]

El peligro de este nuevo gusano radica en que la infección del sistema se produce con tan sólo previsualizar el e-mail que lo contiene

A escasas horas de su nacimiento, Nimda ya se ha cobrado miles de víctimas en todo el mundo. Aunque nadie se ha atrevido a afirmar que el virus es consecuencia directa de los ataques que se produjeron el pasado 11 de septiembre en EEUU, la hora a la que empezó a propagarse por la Red es bastante cercana a la del primer atentado contra las Torres Gemelas de Manhattan. No obstante, el Fiscal general norteamericano, John Ashcroft, ha declarado que no hay ninguna evidencia de que la infección tenga relación con los ataques terroristas, además precisó que Nimda podría ser el anagrama de la palabra "administration" al revés. Por el momento, la única referencia que se tiene de la posible autoría del gusano es el siguiente texto que se incluye en su código "Concept Virus (CV) V.5, Copyright(C)2001 R.P.China".

Nimda es un peligroso gusano que explota diversos agujeros de seguridad para infectar tanto equipos de usuarios individuales, como de red y servidores de correo. Por un lado, como hacía Code Red, se aprovecha de la vulnerabilidad presente el sistema ISS de Microsoft, pero también se transmite por correo electrónico ejecutándose de forma automática, simplemente con la vista previa del mensaje que lo contiene. En este caso, el agujero de seguridad que explota es el que presentan los clientes de correo Outlook y Outlook Express de Microsoft que fue descubierto por el experto en seguridad Juan Carlos García Cuartango. Además, también intenta ejecutarse cuando el usuario visita un site de un servidor web infectado para lo que aprovecha la vulnerabilidad del navegador Internet Explorer 5.x también descubierta por García Cuartango. También se propaga a través de carpetas de red compartidas.

Nimda es un archivo ejecutable de 57 Kb escrito en Visual C++ que, en caso de llegar vía e-mail, se esconde en un archivo adjunto con el nombre README.EXE y se ejecuta de manera inmediata con tan sólo previsualizar el mensaje. Los mensajes infectados que envía son en formato HTML y tienen la siguiente estructura:

Asunto: aleatorio o en blanco (dependerá de los documentos que encuentre en el disco duro del PC del que provenga).
Cuerpo: Vacío.
Adjunto: README.EXE

Una vez en el equipo de la víctima, el virus se copia a sí mismo en distintos directorios (\WINDOWS y \WINDOWS\SYSTEM) así como en el directorio temporal de Windows, donde crea copias con nombres aleatorios pero bajo el patrón MEP*.TMP y MEP*.TMP.EXE. Nimda también modifica el archivo SYSTEM.INI para ejecutarse cada vez que se reinicie el sistema. Además, para reenviarse, recolecta direcciones e-mails encontradas en archivos .HTM y .HTML del disco duro y utiliza funciones MAPI para acceder a la libreta de direcciones del cliente de correo de Windows.

Para evitar el contagio, el internauta no debe abrir el cliente de correo hasta que tenga un programa anti-virus convenientemente actualizado y es bastante recomendable que desactive la opción de "previsualización" o "vista previa" de los mensajes de programas de correo de Microsoft.

En el caso de que el sistema operativo sea Windows NT o Windows 2000, Nimda crea el fichero LOAD.EXE en el directorio WINNT\SYSTEM32 y un usuario guest al que incluye en el grupo de administradores locales con lo cual adquiere determinados privilegios (libre acceso al disco duro). Pero Nimda va más allá porque busca servidores web basados en ISS que presenten la vulnerabilidad Unicode Directory Traversal e intenta alterar el contenido de las siguientes páginas alojadas en éstos:

INDEX.HTML
INDEX.HTM
INDEX.ASP
README.HTML
README.HTM
README.ASP
MAIN.HTML
MAIN.HTM
MAIN.ASP
DEFAULT.HTML
DEFAULT.HTM
DEFAULT.ASP

Si el usuario infectado abre alguna de las páginas mencionadas y la versión de Internet Explorer que tiene instalada presenta el agujero de seguridad antes mencionado, se abrirá automáticamente el archivo README.EXE incluido en el mensaje README.EML. En ese momento, aparecerá una ventana de diálogo donde se le pregunta al usuario si desea abrir un archivo, si el internatua elige la opción "abrir" automáticamente quedará infectado por el gusano. Por lo tanto, se impone la elección de la opción "cancelar".

La mayoría de las casas desarrolladoras de software anti-virus ya han actualizado sus soluciones para que detecten esta nueva amenaza. Una vez más la recomendación parte de la instalación de todos los parches que corrigen vulnerabilidades así como de mantener la solución anti-virus lo más actualizada posible.

Más vale prevenir que curar...


Copyright © VIRUSPROT.COM