|
Emplea la técnica de virus anexado con el auto-envío masivo de mensajes a buzones de correo, conteniendo un archivo con el nombre de README.EXE o README.EML (Electronic Mail Codificado) y al igual que sus versiones anteriores, en forma aleatoria intenta descargarse al visitar un sitio web que previamente haya sido infectado.
Está desarrollado en MS Visual C++, y su código viral tiene una extensión de 28,672. Al igual que el gusano Nimda.B, está encriptado con el propósito de engañar a los antivirus en su detección, debido a que el código examinado no es el verdadero, hasta que no sea ejecutado el archivo anexado. El compresor, además de encriptar el original y comprimirlo, es el que realmente se ejecuta cuando el archivo original es llamado por el sistema o por el usuario. Luego de descomprimir el archivo original, en memoria dinámica le cede el control al archivo anexado.
Su estructura de programación también está inspirada en los gusanos SirCam, Codered y CodeRed2.
Nimda.C infecta todos los sistemas operativos de 32 bits de Microsoft: Windows 95/98/NT/Me/2000/XP.
Dentro de su cuerpo del código viral se lee:
Concept Virus(CV) V.5, Copyright(C)2001 R.P.China
El anexado pretende ser un archivo de sonido "audio/x-wav", codificado en formato "base64". El gusano está diseñado para descargar al sistema afectado un archivo denominado ADMIN.DLL, mediante la aplicación "Tftp.exe", una herramienta de Windows que permite descargar archivos de Internet vía FTP (File Transfer Protocol).
Además aprovecha una vulnerabilidad detectada en Windows 98 y
Windows 2000 que
permiten que el gusano pueda ejecutar los archivos "audio/x-wav",
utilizando para ello el Explorador de Windows (en el modo Visualización estilo
Web).
En servidores con MS Internet Information Server explota una antigua vulnerabilidad basada en la escalada
de directorios con caracteres Unicode. Este
gusano tiene una variedad de recursos para ocasionar estragos o dañar los
sistemas:
Al infectar un equipo, el virus se agrega a continuación de los archivos con extensión .ASP, .HTM y .HTML, así como a los archivos de nombres INDEX, MAIN y DEFAULT, con un código JavaScript con instrucciones para abrir una nueva ventana en el navegador, la misma que contiene el mismo mensaje de correo que ha sido recogido del archivo README.EML. En consecuencia, con el simple hecho de acceder a una página web infectada, el Servidor, estación de trabajo o PC doméstica, sufrirán el contagio.
Nimda.C crea una versión codificada MIME (Multipurpose Internet Mail Extensions), en cada carpeta del sistema, por lo general con los nombres README.EML, DESKTOP.EML o archivos de noticias con extensión NEWS, con lo cual generará una enorme cantidad de archivos que llenarán todo el espacio de los disco duros de los sistemas infectados.
Un llave del registro es borrada para remover la seguridad de compartimiento bajo Windows NT/2000:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Shares\Security]
El gusano se auto copia los directorios raíz de todas las unidades de disco, bajo el nombre de ADMIN.DLL y al infectar, crea compartimientos de Red para cada unidad de disco local y ocasiona estos efectos:
Asimismo toma control de las funciones de las librerías MAPI (Messaging Application Programming Interface) para auto-enviarse en forma masiva, a través de la Libreta de Direcciones de MS Outlook, Outlook Express o MS Exchange y las del protocolo SMTP (Simple Mail Transfer Protocol) que incluye al protocolo POP (Post Office Protocol) que es empleado para extraer mensajes de correo de otros servidores.
La mayoría de software de correo electrónico emplean el protocolo POP, también conocido como E-mail Client, aunque algunos servidores usan el nuevo protocolo IMAP (Internet Message Access Protocol), con lo cual este gusano amplía su capacidad de propagación masiva a través de Internet.
El gusano, también toma el control del archivo WSOCK32.DLL en el directorio del sistema, con el propósito de auto-enviarse a direcciones de correo electrónico y DNS (Domain Name System) contenidos en el Registro de Windows del sistema infectado. El DNS es el servicio de Internet que traduce las direcciones IP y controla la entrega de mensajes de correo.
Luego se auto-copia al SYSTEM.INI en el Boot Shell, agregándole la línea:
shell=explorer.exe load.exe-dontrunold
La próxima vez que se inicie el sistema el gusano Nimda.C tomará el control del servidor, estación de trabajo o la computadora personal infectada, siendo su payload final, la saturación de servidores para crear una negación de servicio o ataque DoS (Denial of Service).
Parche para la vulnerabilidad del "Web Server Folder Traversal" del MS Internet Information Server 4.0 y 5.0
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ms00-078.asp
Parche para la vulnerabilidad del "Incorrect MIME header" de MS Internet Explorer 5.01:
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
El Service Pack 2 del Internet Explorer 5.01 no requiere de este parche ni tampoco el Internet Explorer 6
Se recomienda tener siempre actualizado cualquier buen software antivirus de su preferencia, los Service Packs y parches de los Sistemas Operativos, software de correo electrónico y jamás ejecutar un archivo anexado de un mensaje de correo electrónico de procedencia sospechosa o desconocida.
PER ANTIVIRUS® versión 7.1 actualizado al 13 de Octubre del 2001, detecta y elimina eficientemente este gusano y las variantes reportadas a la fecha.
