Condición de Activación:
Cuando se abre el mensaje, o se visualiza éste desde la vista previa.
W32/Nimda (Admin escrito al revés) es un gusano escrito en Visual C++ que se transmite a través de correo electrónico (el mensaje de correo tiene un formato especial), como un archivo adjunto o incluido en el mensaje de correo. Dicho archivo, tiene el nombre de README.EXE. El gusano aprovecha varias vulnerabilidades. Una de ellas se centra en Internet Explorer. No obstante, dado que tanto Outlook como el explorador de Windows utilizan el componete de Internet Explorer que permite visualizar páginas HTML, ambos se verán igualmente afectados por esta vunerabilidad. Por otra parte, el gusano también se aprovecha de una vulnerabilidad en los servidores de Internet IIS. Esta vulnerabilidad permitiría modificar páginas HTML mediante un script, de tal modo que cuando un usuario se conecte a una página modificada por el gusano, resultará automáticamente infectado. Adicionalmente, este gusano se recorre todas las unidades del sistema en busca de ficheros ejecutables que infectar. En concreto, busca e infecta ficheros con extensión EXE.
Otra de las acciones que realiza este virus consiste en crear ficheros
infectados con extensiones .eml (mensajes de correo electrónico)
y .nws (ficheros de grupos de noticias).
En el interior del mensaje se puede encontrar la siguiente cadena, que indica su posible procedencia: Concept Virus(CV) V.5, Copyright(C)2001 R.P.China W32/Nimda produce la infección de forma automática, con la simple apertura del mensaje o la visualización del mismo en la vista previa. Por otra parte, es intersante destacar que una vez que el virus se encuentra en un servidor afectado, puede propagarse a otros servidores que tengan la misma vulnerabilidad. Para realizar esta acción utiliza el comando tftp. De este modo consiguie enviar el archivo ADMIN.DLL con el código del virus, con el fin de ejecutarlo a continuación. Es en este momento cuando sobreescribe con el código del virus el fichero MMC.EXE (este fichero corresponde a la aplicación Microsoft Management Console). Por otra parte, también modifica los siguientes ficheros: DEFAULT, INDEX, MAIN y README, con extensión .html, .htm y .asp, incluyendo un script que envía automáticamente el fichero README.EML (copia del mensaje original que contiene el fichero adjunto README.EXE).
Adicionalmente, el gusano se puede propagar a través de recursos
compartidos en red, siempre que estos recursos estén accesibles.
Hay que tener en cuenta que una de las acciones que este virus realiza
en Windows NT y 2000 consiste en crear el usuario guest, incluirlo en el
grupo de administradores locales y compartir las unidades locales como
C$ . Como resultado de esto, un servidor infectado y posteriormente desinfectado
con el antivirus será muy vulnerable a ataques del virus desde otras
estaciones o servidores infectados en la red local.
El primer síntoma (de la llegada del virus al sistema, pero no de que se haya tenido lugar la infección) es la aparición de un determinado mensaje de correo electrónico con un formato especial. Éste llevará incluido o adjunto un archivo, cuyo nombre es README.EXE. La simple apertura del mensaje o la visualización del mismo desde la vista previa, produce la infección automática del sistema. En ese momento, el programa cliente de correo (Outlook, u Outlook Express) ejecuta automáticamente el archivo incluido en el mensaje. Esto es debido a que interpreta que se trata de un archivo de audio que debe ser reproducido de forma automática. Este fichero adjunto pretende ser del tipo audio/x-wav y se encuentra codificado en formato base64. Después de su decodificación, el fichero ejecutable que contiene el gusano final, contará con un tamaño de 57344 bytes. Una de las acciones principales de este virus consite en buscar e infectar ficheros con extensión EXE en todas las unidades del sistema. En este sentido, se ha observado la peculiaridad de que el fichero Winzip.exe no resulta infectado. Por otra parte, este gusano también recorre todas las unidades del sistema (incluyendo las mapeadas) en busca de documentos con extensión DOC. Cada vez que encuentra un fichero .DOC copia el fichero infectado RICHED20.DLL en el directorio donde se encuentre el documento (en el caso de que no existitera previamente). De este modo, cada vez que se abra un documento DOC se cargará la mencionada librería infectada.
Otra de las acciones que realiza este gusano consiste en crear ficheros
infectados con extensión .eml y .nws. El nombre de estos ficheros
será aleatorio.
Para que la infección tenga lugar, basta con abrir el mensaje de correo o visualizarlo desde la vista previa. Entonces, el cliente de correo (Outlook, u Outlook Express) ejecuta automáticamente el archivo que se encuentra incluido en el mensaje, ya que interpreta que se trata de un archivo de audio que debe ser reproducido de forma automática. En este momento, si el sistema es Windows 9x, el virus aprovecha (a modo de vía de entrada e infección) las vulnerabilidades de Micorosoft Outlook y Microsoft Outlook Express (descubiertas por Juan Carlos García Cuartango). Éstas se basan en la ejecución de los ficheros incluidos en un mensaje, con la simple apertura y/o visualización (vista previa) del mismo. En tal caso, W32/Nimda se copia a sí mismo en el directorio Windows\System, como un archivo con el nombre LOAD.EXE. Dicho archivo llevará asociado el atributo de oculto, para impedir su visualización en un listado de archivos. Además modifica el fichero SYSTEM.INI añadiendo en él la siguiente línea (esto garantiza al gusano su ejecución en próximos arranques del sistema): Shell=explorer.exe load.exe -dontrunold A continuación copia en el directorio Windows\System el fichero RICHED20.DLL. Dicho archivo contiene al propio virus y también tiene asociado el atributo de oculto. Con esto se consigue que el virus sea lanzado o ejecutado cada vez que se ejecute cualquier aplicación que utilice dicha DLL (entre alguna de las aplicaciones que utilizan la librería RICHED20.DLL, se encuentra el Wordpad). Por otra parte, si el sistema es Windows NT o Windows 2000, el gusano crea el fichero LOAD.EXE en el directorio Winnt\System32. A continuación, crea el usuario guest. Dicho usuario es incluido en el grupo de administradores locales y se realiza un login con dicho usuario, admás de compartir la unidad C:, como C$. Por otra parte, el gusano logra compartir todas las unidades del sistema. W32/Nimda utiliza otra vulnerabilidad del Internet Information Server (IIS) para alterar el contenido de las siguientes páginas mediante un script:
Por lo tanto, si un usuario abre alguna de las páginas mencionadas y la versión de Internet Explorer que tiene instalada cuenta con la vulnerabilidad mencionada anteriormente, se abrirá automáticamente el fichero README.EXE incluido en el mensaje README.EML. Además el gusano se envía a través de correo electrónico conectándose directamente a Internet, mediante comandos SMTP. Para conseguir las direcciones e-mail de sus victimas, realiza un login al sistema de correo, utilizando para ello SimpleMAPI. Entonces, recorre mensajes en busca de direcciones de correo en su interior.
En un sistema con la vulnerabilidad de Internet Explorer mencionada anteriormente,
el fichero .EML se ejecutará con cualquier acción que se
realize sobre él. Para esto sería necesario que la opción
Permitir la existencia de contenido Web en las carpetas (accesible en las
opciones de carpeta del Explorador de Windows) estuviera activada. Concretamente,
bastaría con hacer clic sobre él para que se ejecute. No
obstante, ésta no es la vía más habitual de infección.
Para reparar los efectos producidos por NIMDA en equipos aislados tenga en cuenta lo siguiente: W32/Nimda, además de infectar y realizar sus acciones dañinas, también realiza modificaciones en la configuración del ordenador. Éstas, entre otras, afectan a las entradas en el Registro de Windows. Panda Software cuenta con una herramienta que permite solucionar este problema y restablecer los valores originales y correctos de la configuración: PQREMOVE (923Kb.). Desde esta página podrá descargar dicha herramienta.
Web de Panda: updates.pandasoftware.com/pqremove
Para ejecutar está aplicación, bastará con que haga doble click sobre él. Nota: Le recomendamos
que una vez llevada a cabo la desinfección proceda a la actualización
de nuestras soluciones antivirus, así como del fichero de firmas
de virus correspondiente (Upgrade y Updates). Configure el antivirus de
modo que analice las extensiones EML. Consulte el manual de producto que
corresponda para obtener información sobre el modo de llevar a cabo
esta acciones.
B) En redes sin la aplicación Panda Administrator (solución SAG): Para reparar los efectos producidos por Nimda en equipos instalados en redes que no dispongan de la aplicación Panda Administrator tenga en cuenta lo siguiente: W32/Nimda, además de infectar y realizar sus acciones dañinas, también realiza modificaciones en la configuración del ordenador. Éstas, entre otras, afectan a las entradas en el Registro de Windows. Panda Software cuenta con una herramienta que permite solucionar este problema y restablecer los valores originales y correctos de la configuración: PQREMOVE. Desde esta página podrá descargar dicha herramienta. Descargue el fichero PQREMOVE.COM y guárdelo en el directorio que usted desee (puede descargarlo, pinchando sobre el siguiente enlace).
Web de Panda: updates.pandasoftware.com/pqremove
Recuerde que este virus se propaga a través de red, por este motivo deberá desconectar los equipos físicamente de la misma. De esta forma evitaremos que se vuelva a infectar el equipo durante el proceso de desinfección. Para ejecutar el fichero PQREMOVE.COM, bastará con que haga doble click sobre él. Nota: En este caso deberá efectuar el proceso de desinfección equipo por equipo y no conectar los equipos desinfectados a la red hasta no haber desinfectado TODOS ellos. Por otra parte, es importante tener en cuenta que esta utilidad funciona tanto en estaciones como en servidores.
Al igual que en el caso anterior, una vez llevada a cabo la desinfección
proceda a la actualización de nuestras soluciones antivirus (Upgrade
y Updates), así como del fichero de firmas de virus correspondiente.
Configure el antivirus de modo que analice las extensiones EML. Consulte
el manual de producto que corresponda para obtener información sobre
el modo de llevar a cabo esta acciones.
C) En redes con la aplicación Panda Administrator (solución SAG): En el caso concreto de redes que tengan instalada nuestra herramienta corporativa Panda Administrator, póngase en contacto con el servicio técnico de Panda Software, ya sea por córreo electrónico o por teléfono, a fin de aplicar una solución distribuida.
Al igual que en el caso anterior, una vez llevada a cabo la desinfección
proceda a la actualización de nuestras soluciones antivirus (Upgrade
y Updates), así como del fichero de firmas de virus correspondiente.
Configure el antivirus de modo que analice las extensiones EML. Consulte
el manual de producto que corresponda para obtener información sobre
el modo de llevar a cabo esta acciones.
D) Desinfección manual: Para desinfectar su equipo desde MS-DOS siga las siguientes instrucciones:
En ordenadores con los siguientes sistemas operativos: Windows 95/98/NT/2000Pro siga los pasos que le detallamos a continuación:
Primero acceda al fichero del sistema SYSTEM.INI, que se encuentra dentro del directorio C:\WINDOWS, ejecutándolo con el ratón. Una vez en este fichero (SYSTEM.INI) deberá asegurarse de que modificar la siguiente línea en él:
shell=explorer.exe load.exe -dontrunold
Después, es necesario eliminar los archivos propios del virus. En este caso el fichero a eliminar es el siguiente: LOAD.EXE. Para eliminar este archivo siga los siguientes pasos:
A continuación sería interesante borrar todos los ficheros temporales que el virus genera dentro del directorio TEMP del sistema. Para ello deben seguirse los siguientes pasos:
Además, se recomienda encarecidamente actualizar su Internet Explorer (ya sea su versión 5.01 o 5.5) con los parches de Microsoft disponibles en las siguientes direcciones:
Para Internet Explorer 5.01:
Para Internet Explorer 5.5:
Los servidores que tengan el IIS (Internet Information Server), dependiendo de su versión, se deberían actualizar respectivamente con los siguientes parches de Microsoft:
IIS 4.0:
IIS 5.0
Una vez realizados estos pasos el virus quedará totalmente desactivado del equipo. Si se desea desinfectar el equipo, se recomienda actualizar su solución antivirus y realizar un análisis de todo el sistema. Nota adicional de interés:
En los servidores en inglés el virus elimina el password correspondiente
al usuario guest y le asigna derechos de administrador, para que sea posible
realizar accesos de forma remota. La solución PQREMOVE, desactiva
dicha cuenta para evitar estos accesos. Si se desea activarla, después
de haber aplicado la solución PQREMOVE, habrá que acceder
al Administrador de usuarios.
Incluir los ficheros con extensión .eml y .nws en la lista de ficheros analizables. Activar la seguridad de Internet Explorer y Outlook al nivel máximo. Actualizar el servidor de Microsoft Internet Information Server (IIS):
Si se trata de Microsoft IIS 4.0, actualícelo en la siguiente dirección:
Si se trata de Microsoft IIS 5.0, actualícelo en la siguiente dirección:
Acceder a las opciones de configuración del Explorador de Windows
y seleccionar la opción Utilizar carpetas clásicas de Windows,
en lugar de Permitir la existencia de contenido Web en las carpetas. Esto
impide que los ficheros .EML infectados sean ejecutados automáticamente
con un solo clic del ratón, o un movimiento del cursor del teclado
sobre ellos.
 El gusano emplea una vulnerabilidad descubierta por Juan Carlos García Cuartango. Ésta cuenta con dos partes.
|