GUSANO
Nimda
|
A escasas horas de su nacimiento, Nimda se cobraba miles de víctimas en todo el mundo. Aunque nadie se ha atrevido a afirmar que el virus es consecuencia directa de los ataques que se produjeron el 11 de septiembre de 2001 en EEUU, la hora a la que empezó a propagarse por la Red es bastante cercana a la del primer atentado contra las Torres Gemelas de Manhattan. No obstante, el Fiscal general norteamericano, John Ashcroft, declaró que no hay ninguna evidencia de que la infección tenga relación con los ataques terroristas, además precisó que Nimda podría ser el anagrama de la palabra "administration" al revés. Por el momento, la única referencia que se tiene de la posible autoría del gusano es el siguiente texto que se incluye en su código "Concept Virus (CV) V.5, Copyright(C)2001 R.P.China". Nimda es un peligroso gusano que explota diversos agujeros de seguridad para infectar tanto equipos de usuarios individuales, como de red y servidores de correo. Por un lado, como hacía Code Red, se aprovecha de la vulnerabilidad presente el sistema ISS de Microsoft, pero también se transmite por correo electrónico ejecutándose de forma automática, simplemente con la vista previa del mensaje que lo contiene. En este caso, el agujero de seguridad que explota es el que presentan los clientes de correo Outlook y Outlook Express de Microsoft que fue descubierto por el experto en seguridad Juan Carlos García Cuartango. Además, también intenta ejecutarse cuando el usuario visita un site de un servidor web infectado para lo que aprovecha la vulnerabilidad del navegador Internet Explorer 5.x también descubierta por García Cuartango. También se propaga a través de carpetas de red compartidas. Nimda es un archivo ejecutable de 57 Kb escrito en Visual C++ que, en caso de llegar vía e-mail, se esconde en un archivo adjunto con el nombre README.EXE y se ejecuta de manera inmediata con tan sólo previsualizar el mensaje. Los mensajes infectados que envía son en formato HTML y tienen la siguiente estructura: Asunto: aleatorio o en blanco (dependerá
de los documentos que encuentre en el disco duro del PC del
que provenga). Una vez en el equipo de la víctima, el virus se copia a sí mismo en distintos directorios (\WINDOWS y \WINDOWS\SYSTEM) así como en el directorio temporal de Windows, donde crea copias con nombres aleatorios pero bajo el patrón MEP*.TMP y MEP*.TMP.EXE. Nimda también modifica el archivo SYSTEM.INI para ejecutarse cada vez que se reinicie el sistema. Además, para reenviarse, recolecta direcciones e-mails encontradas en archivos .HTM y .HTML del disco duro y utiliza funciones MAPI para acceder a la libreta de direcciones del cliente de correo de Windows. Para evitar el contagio, el internauta no debe abrir el cliente de correo hasta que tenga un programa anti-virus convenientemente actualizado y es bastante recomendable que desactive la opción de "previsualización" o "vista previa" de los mensajes de programas de correo de Microsoft. En el caso de que el sistema operativo sea Windows NT o Windows 2000, Nimda crea el fichero LOAD.EXE en el directorio WINNT\SYSTEM32 y un usuario guest al que incluye en el grupo de administradores locales con lo cual adquiere determinados privilegios (libre acceso al disco duro). Pero Nimda va más allá porque busca servidores web basados en ISS que presenten la vulnerabilidad Unicode Directory Traversal e intenta alterar el contenido de las siguientes páginas alojadas en éstos: INDEX.HTML Si el usuario infectado abre alguna de las páginas mencionadas y la versión de Internet Explorer que tiene instalada presenta el agujero de seguridad antes mencionado, se abrirá automáticamente el archivo README.EXE incluido en el mensaje README.EML. En ese momento, aparecerá una ventana de diálogo donde se le pregunta al usuario si desea abrir un archivo, si el internauta elige la opción "abrir" automáticamente quedará infectado por el gusano. Por lo tanto, se impone la elección de la opción "cancelar". |
