Nuevo virus I-Worm.Nimda

Boletín informativo de Ontinet.com, S.L. & Kaspersky Anti-Virus
18 de Septiembre de 2.001

## INDICE #############################

[1].- Nuevo virus I-Worm.Nimda

#######################################

[1].- Nuevo virus I-Worm.Nimda

El I-Worm.Nimda es un gusano de Internet que se reproduce a través del
correo electrónico, a través de la red local, e infectando servidores de
Internet que utilicen el Internet Information Server de Microsoft. La alta
velocidad de reproducción del virus hace recomendable alertar a los
usuarios sobre el mismo.

El gusano en sí mismo es un programa ejecutable de 57Kb escrito en
Microsoft Visual C++.  En su interior, el programa contiene la cadena:
Concept Virus(CV) V.5, Copyright(C)2001 R.P.China

Para ejecutarse desde un mensaje de correo infectado el virus utiliza
un conocido agujero de seguridad del Windows. Una vez ejecutado, el gusano
se instala en el sistema y ejecuta su rutina de reproducción.

Instalación
--------------

Cuando es ejecutado, el virus se copia a sí mismo en:

- el directorio \WINDOWS con el nombre MMC.EXE
- el directorio \WINDOWS\SYSTEM con el nombre LOAD.EXE
- el directorio \WINDOWS\SYSTEM con el nombre RICHED20.DLL que es un
archivo de Windows. El archivo original se pierde, con lo que para
recuperarlo hay que copiarlo desde el CDRom original de Windows

También crea diversas copias de sí mismo en el directorio temporal de
Windows con nombres aleatorios con el patrón MEP*.TMP y MEP*.TMP.EXE, por
ejemplo:

  mep01A2.TMP
  mep1A0.TMP.exe
  mepE002.TMP.exe
  mepE003.TMP.exe
  mepE004.TMP

Los archivos EXE (y también el LOAD.EXE) tienen atributos de Ocultos
y de Sistema, lo que hace que no puedan ser vistos dependiendo de la
configuración de Windows.

El gusano también modifica el fichero de inicio SYSTEM.INI, del
siguiente modo:

[boot]
shell=explorer.exe load.exe -dontrunold

De esa forma se asegura que será ejecutado cada vez que se reinicie el
ordenador.
Para desinfectar completamente el ordenador es necesario modificar
dicha línea y dejarla en su estado original, que es:

[boot]
shell=explorer.exe


Reproducción - a través del correo electrónico
------------------------------------------------------------

Para recolectar direcciones de correo electrónico a infectar, el virus
busca archivos *.HTM y *.HTML (páginas web) en el disco duro buscando
direcciones, y además, utilizando el MAPI de Windows accede al cliente de
correo y utiliza las direcciones que encuentra.

Los mensajes infectados que envía son en formato HTML y tienen la
siguiente estructura:

Asunto: aleatorio o en blanco
Cuerpo: vacío
Fichero adjunto: README.EXE

El "Asunto" dependerá de un nombre de archivo aleatorio de documentos
que encuentre en la carpeta "Mis Documentos", o también de cualquier
documento del disco duro C:

Para introducirse en el ordenador el virus utiliza una vulnerabilidad de
Windows muy conocida (desde el 29/03/2001) que permite que el fichero
adjunto de un determinado mensaje se ejecute automáticamente al leer el
mensaje.

Información sobre dicha vulnerabilidad aparece en la siguiente página de
Microsoft (en inglés):

Microsoft Security Bulletin (MS01-020): Incorrect MIME Header Can Cause IE
to Execute E-mail Attachment
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

Existe un parche para dicha vulnerabilidad que puede ser descargado
desde la siguiente página web:
http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp

Es extremadamente recomendado instalar el parche proporcionado por
Microsoft.


Reproducción - a través del correo electrónico
------------------------------------------------------------

El gusano infecta ordenadores remotos a través de la red local de las
siguientes dos formas:

1) Crea archivos .EML (en el 95% de los casos) o archivos *.NWS (en el
restante 5%) con nombres aleatorios. Como resultado, esos archivos EML y
NWS estan por todas partes en los ordenadores infectados. Puede llegar a
haber miles de ellos tanto en el ordenador infectado como en la red local.
Esos archivos contienen copias del virus en formato de correo electrónico,
es decir, solo pueden infectar si son abiertos por un programa de correo.
Las extensiones EML y NWS se asocian habitualmente a programas de correo
electrónico como el Outlook o el The Bat, por tanto, haciendo doble click
sobre ellos se abrirá el programa de correo electrónico y comenzará la
infección.

2) El gusano busca páginas web usando determinadas combinaciones
nombre+extensión:

*DEFAULT* , *INDEX* , *MAIN* , *README* + .HTML, .HTM, .ASP

Por ejemplo:
default.html
default.htm
index.asp
readme.asp
readme.htm
etc...

En caso de que se encuentre un archivo con ese nombre, el gusano se
copia a sí mismo usando el formato de correo electrónico con el nombre
README.EML y añade al "archivo víctima" un pequeño programa en javascript
que lo único que hace es abrir el archivo README.EML cada vez que se abre
dicho archivo infectado.

Como resultado el virus afecta a páginas web, por lo que puede
introducirse en ordenadores que visiten dicha web.


Reproducción - Infección de un servidor web
----------------------------------------------------------

Para infectar un servidor Web el virus utiliza el comando "tftp" y
activa un servidor TFTP en la máquina infectada (la máquina actual) para
ejecutar el comando "get data" en la máquina víctima (servidor web remoto).
El nombre del archivo que se envía al servidor web es ADMIN.DLL

Este método es el mismo que utiliza el conocido gusano CodeRed (Código
Rojo).

Cualquier usuario que visite una web infectada puede acabar infectado
él mismo.


Consecuencias
---------------------

Cuando el virus ha terminado de infectar el ordenador, ejecuta los
siguientes pasos:

- Añade el usuario "guest" al grupo de administradores del ordenador. De
ese modo, cualquier usuario que se identifique como "Guest" ante la máquina
infectada tendrá todos los permisos para trabajar en dicho ordenador.

- Comparte todas las unidades de discos duros locales a través de la red.

De este modo, se asegura de dejar una puerta abierta a ese ordenador a
través de la red local o de Internet.


Más información en la página web:

http://www.avp-es.com/virus/nimda.html


AVP protege contra este virus desde el Martes 18 de Septiembre a las
18:00h

Recomendamos a todos los usuarios que actualicen sus antivirus lo
antes posible.


Acerca de Kaspersky Labs & Ontinet.com, S.L.

Kaspersky Lab es una compañía con un vertiginoso crecimiento que cuenta
con oficinas en Moscú (Rusia), Cambridge (Reino Unido) y Walnut Creek
(EEUU). Habiendo empezado en el mundo de los negocios en 1.992 hasta
consolidar su nueva imagen y el actual nombre de la empresa en 1.997,
concentra todos sus esfuerzos en el desarrollo de tecnología líder en el
mundo de detección y eliminación de virus. Kaspersky lab cuenta con
distribuidores en más de 40 países de todo el mundo y sus productos están
traducidos a más de 13 idiomas.

Ontinet.com, S.L. es un distribuidor oficial para España y Latinoamerica
de los productos de Kaspersky Labs desde 1.996, y cuenta con la mayoría de
las versiones traducidas al castellano, incluyendo documentación y ayuda en
linea, además de varias listas de correo en castellano totalmente gratuitas
con soporte del software de Kaspersky Labs y boletines informativos
especiales con información siempre actualizada acerca del mundo de los virus.

Para una mayor información acerca de los productos Kaspersky en España y
LatinoAmerica puede visitar nuestras páginas web en http://www.avp-es.com o
http://www.kaspersky-es.com, y http://www.avp-soporte.com



Ontinet.com, S.L.
http://www.avp-es.com
http://www.kaspersky-es.com
http://www.avp-soporte.com
----------------------------------------------------------------------------
Distribuidor para España y LatinoAmerica del Kaspersky Antivirus
(antiguo A.V.P. - Antiviral Toolkit Pro)
desde 1.996
----------------------------------------------------------------------------
Ontinet.com, S.L.
Avda. Pio XII, 6, bajos
46870 Ontinyent - Valencia (España)
Telf.- +34-902.33.48.33
Fax.- +34-902.33.48.33
info@kaspersky-es.com
info@avp-es.com