Nimda.B, peligrosa variante del Nimda.A de amplia capacidad de propagación

© Jorge Machado  Lima-Perú

Nimda-B@mm, W32/Nimda.B

Este gusano reportado el 06 de Octubre del 2001, es una variante del Nimda, sumamente peligrosa por su amplia capacidad de propagación masiva en Internet, con el propósito de saturar los servidores WEB y LAN. Emplea la técnica de virus anexado con el clásico auto-envío masivo de mensajes a buzones de correo, conteniendo un archivo con el nombre de PUTA.SCR y aleatoriamente otro de nombre PUTA!!.EML, además intenta descargarse al visitar un sitio web que previamente haya sido infectado.

Está desarrollado en MS Visual C++ y en esta oportunidad está encriptado con el utilitario PCShrink, un compresor de ejecutables, que tiene la particularidad de engañar la detección por parte de los antivirus, ya que el código examinado no es el verdadero, hasta que no sea ejecutado el archivo anexado. El compresor, además de encriptar el original y comprimirlo, es el que realmente se ejecuta cuando el archivo original es llamado por el sistema o por el usuario. Luego de descomprimir el archivo original, en memoria dinámica le cede el control al archivo anexado.  

Su estructura de programación está inspirada en los gusanos SirCam, CodeRed y CodeRed2. 

Nimda.B infecta todos los sistemas operativos de 32 bits de Microsoft: Windows 95/98/NT/Me/2000/XP

Dentro de su cuerpo del código viral se lee:

Concept Virus(CV) V.5, Copyright(C)2001  R.P.China

Esto hace presumir que también habría sido desarrollado en la República Popular China, aunque nada impide crear un virus y atribuir un supuesto origen, dentro de su micro código. Cabe mencionar que no guarda ninguna relación con el macro virus del mismo nombre, Concept, reportado en 1995.

El anexado pretende ser un archivo de sonido "audio/x-wav", codificado en formato "base64". El gusano está diseñado para descargar al sistema afectado un archivo denominado ADMIN.DLL, mediante la aplicación "Tftp.exe", una herramienta de Windows que permite descargar archivos de Internet vía FTP (File Transfer Protocol).

Para facilitar posibles ataques e infecciones, Nimda.B crea un nuevo usuario, con el comando "NET USER ADD" permitiéndole compartir la unidad de disco C:\  y procede a contagiar a otras unidades de red conectadas. 

Además aprovecha una vulnerabilidad detectada en Windows 98 y Windows 2000 que permiten que el gusano pueda ejecutar los archivos "audio/x-wav", utilizando para ello el Explorador de Windows (en el modo Visualización estilo Web).

En servidores con MS Internet Information Server explota una antigua vulnerabilidad basada en la escalada de directorios con caracteres Unicode

Asimismo toma control de las funciones de las librerías MAPI (Messaging Application Programming Interface) para auto-enviarse en forma masiva, a través de la Libreta de Direcciones de MS Outlook, Outlook Express o MS Exchange y las del protocolo SMTP (Simple Mail Transfer Protocol) que incluye al protocolo POP (Post Office Protocol) que es empleado para extraer mensajes de correo de otros servidores.

La mayoría de software de correo electrónico emplean el protocolo POP, también conocido como E-mail Client, aunque algunos servidores usan el nuevo protocolo IMAP (Internet Message Access Protocol), con lo cual este gusano amplía su capacidad de propagación masiva a través de Internet.

El gusano, también toma el control del archivo WSOCK32.DLL en el directorio del sistema, con el propósito de auto-enviarse a direcciones de correo electrónico y DNS (Domain Name System) contenidos en el Registro de Windows del sistema infectado. El DNS es el servicio de Internet que traduce las direcciones IP y controla la entrega de mensajes de correo.

Luego se auto-copia al SYSTEM.INI en el Boot Shell, agregándole la línea:

shell=explorer.exe puta.scr- dontrunold

La próxima vez que se inicie el sistema el gusano Nimda.B tomará el control del servidor, estación de trabajo o la computadora personal infectada, siendo su payload final, la saturación de servidores para crear una negación de servicio o ataque DoS (Denial of Service).

Parche para la vulnerabilidad del "Web Server Folder Traversal" del MS Internet Information Server 4.0 y 5.0 

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ms00-078.asp

Parche para la vulnerabilidad del "Incorrect MIME header" de MS Internet Explorer 5.01:

http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

El Service Pack 2 del IE5.01 no requiere de este parche.

Se recomienda tener siempre actualizado cualquier buen software antivirus de su preferencia, los Service Packs y parches de los Sistemas Operativos, software de correo electrónico y jamás ejecutar un archivo anexado de un mensaje de correo electrónico de procedencia sospechosa o desconocida.

PER ANTIVIRUS® versión 7.1 actualizado al 09 de Octubre del 2001, detecta y elimina eficientemente este gusano y las variantes reportadas a la fecha.

Ir al menú anterior

Regresar al Portal de PER SYSTEMS