31/10/01

NOTICIAS

Nimda.E: mayor poder de destrucción


[Económica]
[Seguridad]
[Nuevos Virus]
[Nuevos Productos]
[Otras noticias]

Con ésta son ya cuatro las variantes que le han salido a Nimda, pero ésta es la más peligrosa puesto que el autor ha corregido fallos que presentaba en su código

Hablar de las variantes de Nimda sería el cuento de nunca acabar. Unas compañías desarrolladoras de software anti-virus opinan que ya tiene cuatro, otras que tiene tres... De este modo, no es raro que a la nueva versión, que se reportó el pasado día 30, unos la consideren como la .D y otros como la .E, todo depende de si los laboratorios han contabilizado o no como variante la que era exactamente igual que el virus original pero el adjunto llegaba comprimido. En fin, sea como fuere lo que está claro es que ya hay otra versión de Nimda y que, en esta ocasión, llega mejorada.

Al parecer, su autor ha arreglado algunos errores de programación que impedían que desarrollase ciertas acciones. Además, también ha sido modificado parte del texto del código que ahora incluye la siguiente leyenda: "Concept Virus(CV) V.6, Copyright(C)2001, (This's CV, No Nimda.)".

En esta ocasión, el mensaje llega sin asunto ni contenido, sólo con un adjunto de nombre SAMPLE.EXE, que simula ser un archivo tipo audio/x-wav codificado en formato MIME, que es el que contiene el gusano. Advertir que como ya ocurría con Nimda, la infección es automática desde el momento en el que se previsualiza el mensaje, algo que consigue explotando algunas vulnerabilidades presentes en determinadas versiones de los programas de correo Outlook, Outlook Express, en Internet Explorer (IE) y en en el software Internet Information Server (ISS) de Microsoft. Merece la pena recordar que están expuestos a este código maligno los sistemas operativos Windows 95/98/NT/Me/2000/XP y que el gigante informático dispone, desde hace tiempo, de los parches que corrigen los agujeros de seguridad que aprovecha Nimda y todas sus variantes.

La infección de Nimda.E se lleva a cabo:

- Se copia en la carpeta C:WINDOWS con los nombres LOAD.EXE y RICHED20.DLL (ambos con atributos de ocultos) y en otros equipos compartidos en redes LAN. 
- Altera el archivo SYSTEM.INI, con el fin de ejecutarse cada vez que se reinicie el equipo, agregando la línea "shell=explorer.exe load.exe -dontrunold". 
- Crea un nuevo usuario con derechos de acceso a la unidad C:, lo que favorece que Nimda.E se extienda a otras unidades de red. 
- Añade un código que permite ejecutar el archivo README.EML en los archivos con extensiones .HTML, .ASP o HTM así como en los que aparezca el nombre README, MAIN, INDEX o DEFAULT (lo que hace que el usuario se contagie por visitar estas páginas que contienen el virus siempre que tenga instalada una versión insegura de IE). 
- Busca servidores bajo ISS de Microsoft y cuando el sistema es vulnerable se copia en el archivo HTTPODBC.DLL y lo ejecuta. Este archivo, existente en equipos que tienen instalado Windows NT/2000 bajo ISS, se utiliza para acceder y controlar todos los sitios web con protocolo HTTP. En otros servidores, el gusano se copia en la carpeta C:\WINDOWS con el nombre CSRSS.EXE.

La rutina de Nimda.E no ternina hasta que el sistema se reinicia, entonces el gusano tomará el control del servidor o el PC infectado para lanzar ataques de denegación de servicio (DDoS), lo que ralentizará también la navegación por Internet.

La recomendación de los expertos en seguridad es, en este caso, desactivar la opción de previsualización de mensajes de los programas de correo afectados y mantener actualizados mediante los parches correspondientes todos los programas que se tengan instalados, en especial si se saben vulnerables. También reiteran el consejo de no abrir adjuntos sin antes escanear su contenido.


Copyright © VIRUSPROT.COM