|
Este es un gusano reportado el 18 de Septiembre del 2001, sumamente peligroso por su amplia capacidad de propagación masiva en Internet, con el propósito de saturar los servidores WEB y LAN. Emplea la técnica de virus anexado con el clásico auto-envío de mensajes a buzones de correo, conteniendo un archivo con el nombre de Readme.exe, además intenta descargarse al visitar un sitio web que previamente haya sido infectado.
Está desarrollado en lenguaje MS Visual C++ y no está encriptado. Su estructura de programación está inspirada en los gusanos SirCam, Codered y CodeRed2.
Nimda infecta todos los sistemas operativos de 32 bits de Microsoft: Windows 95/98/NT/Me/2000/XP.
Dentro de su cuerpo del código viral se lee:
Concept Virus(CV) V.5, Copyright(C)2001 R.P.China
Esto hace presumir que haya sido desarrollado en la República Popular China, aunque nada impide crear un virus y atribuir un supuesto origen, dentro de su micro código. Cabe mencionar que no guarda ninguna relación con el macro virus del mismo nombre, Concept, reportado en 1995.
El anexado pretende ser un archivo de sonido "audio/x-wav", codificado en formato "base64". Después de su decodificación, el archivo ejecutable que contiene el gusano final, tendrá una extensión de 57,344 bytes. El gusano está diseñado para descargar al sistema afectado un archivo denominado ADMIN.DLL, mediante la aplicación "Tftp.exe", una herramienta de Windows que permite descargar archivos de Internet vía FTP (File Transfer Protocol).
Para facilitar posibles ataques e infecciones, Concept crea
un nuevo usuario, con el comando "NET USER ADD"
permitiéndole compartir la unidad de disco C:\ y
procede a contagiar a otras unidades de red conectadas.
Además aprovecha una vulnerabilidad detectada en Windows 98 y
Windows 2000 que
permiten que el gusano pueda ejecutar los archivos "audio/x-wav",
utilizando para ello el Explorador de Windows (en el modo Visualización estilo
Web).
En servidores con MS Internet Information Server explota una antigua vulnerabilidad basada en la escalada
de directorios con caracteres Unicode.
Asimismo toma control de las funciones de las librerías MAPI (Messaging Application Programming Interface) para auto-enviarse en forma masiva, a través de la Libreta de Direcciones de MS Outlook, Outlook Express o MS Exchange y las del protocolo SMTP (Simple Mail Transfer Protocol) que incluye al protocolo POP (Post Office Protocol) que es empleado para extraer mensajes de correo de otros servidores.
La mayoría de software de correo electrónico emplean el protocolo POP, también conocido como E-mail Client, aunque algunos servidores usan el nuevo protocolo IMAP (Internet Message Access Protocol), con lo cual este gusano amplía su capacidad de propagación masiva a través de Internet.
El gusano, también toma el control del archivo WSOCK32.DLL en el directorio del sistema, con el propósito de auto-enviarse a direcciones de correo electrónico y DNS (Domain Name System) contenidos en el Registro de Windows del sistema infectado. El DNS es el servicio de Internet que traduce las direcciones IP y controla la entrega de mensajes de correo.
Luego se auto-copia al SYSTEM.INI en el Boot Shell, agregándole la línea:
shell=explorer.exe load.exe-dontrunold
La próxima vez que se inicie el sistema el gusano Concept tomará el control del servidor, estación de trabajo o la computadora personal infectada, siendo su payload final, la saturación de servidores para crear una negación de servicio o ataque DoS (Denial of Service).
Parche para la vulnerabilidad del "Web Server Folder Traversal" del MS Internet Information Server 4.0 y 5.0
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ms00-078.asp
Parche para la vulnerabilidad del "Incorrect MIME header" de MS Internet Explorer 5.01:
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
El Service Pack 2 del IE 5.01 no requiere de este parche.
Se recomienda tener siempre actualizado cualquier buen software antivirus de su preferencia, los Service Packs y parches de los Sistemas Operativos, software de correo electrónico y jamás ejecutar un archivo anexado de un mensaje de correo electrónico de procedencia sospechosa o desconocida.
PER ANTIVIRUS® versión 7.1 actualizado al 18 de Septiembre del 2001, detecta y elimina eficientemente este gusano y las variantes reportadas a la fecha.
