Asociación de Internautas

Logo 1

Atención: Nuevo virus I-Worm.Nimda


El I-Worm.Nimda es un gusano de Internet que se reproduce a través del correo electrónico, a través de la red local, e infectando servidores de Internet que utilicen el Internet Information Server de Microsoft. La alta velocidad de reproducción del virus hace recomendable alertar a los usuarios sobre el mismo.

El gusano en sí mismo es un programa ejecutable de 57Kb escrito en Microsoft Visual C++. En su interior, el programa contiene la cadena: Concept Virus(CV) V.5, Copyright(C)2001 R.P.China

Para ejecutarse desde un mensaje de correo infectado el virus utiliza un conocido agujero de seguridad del Windows. Una vez ejecutado, el gusano se instala en el sistema y ejecuta su rutina de reproducción.

Instalación

--------------

Cuando es ejecutado, el virus se copia a sí mismo en:

- el directorio WINDOWS con el nombre MMC.EXE
- el directorio WINDOWSSYSTEM con el nombre LOAD.EXE
- el directorio WINDOWSSYSTEM con el nombre RICHED20.DLL que es un archivo de Windows. El archivo original se pierde, con lo que para recuperarlo hay que copiarlo desde el CDRom original de Windows

También crea diversas copias de sí mismo en el directorio temporal de Windows con nombres aleatorios con el patrón MEP*.TMP y MEP*.TMP.EXE, por ejemplo:

mep01A2.TMP
mep1A0.TMP.exe
mepE002.TMP.exe
mepE003.TMP.exe
mepE004.TMP
Los archivos EXE (y también el LOAD.EXE) tienen atributos de Ocultos y de Sistema, lo que hace que no puedan ser vistos dependiendo de la configuración de Windows.

El gusano también modifica el fichero de inicio SYSTEM.INI, del siguiente modo:

[boot]
shell=explorer.exe load.exe -dontrunold

De esa forma se asegura que será ejecutado cada vez que se reinicie el ordenador.

Para desinfectar completamente el ordenador es necesario modificar dicha línea y dejarla en su estado original, que es:

[boot]
shell=explorer.exe

Reproducción - a través del correo electrónico

------------------------------------------------------------
Para recolectar direcciones de correo electrónico a infectar, el virus busca archivos *.HTM y *.HTML (páginas web) en el disco duro buscando direcciones, y además, utilizando el MAPI de Windows accede al cliente de correo y utiliza las direcciones que encuentra.

Los mensajes infectados que envía son en formato HTML y tienen la siguiente estructura:

Asunto: aleatorio o en blanco
Cuerpo: vacío
Fichero adjunto: README.EXE

El "Asunto" dependerá de un nombre de archivo aleatorio de documentos que encuentre en la carpeta "Mis Documentos", o también de cualquier documento del disco duro C:

Para introducirse en el ordenador el virus utiliza una vulnerabilidad de Windows muy conocida (desde el 29/03/2001) que permite que el fichero adjunto de un determinado mensaje se ejecute automáticamente al leer el mensaje.

Información sobre dicha vulnerabilidad aparece en la siguiente página de Microsoft (en inglés):

Microsoft Security Bulletin (MS01-020): Incorrect MIME Header Can Cause IE to Execute E-mail Attachment http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

Existe un parche para dicha vulnerabilidad que puede ser descargado desde la siguiente página web:
http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp

Es extremadamente recomendado instalar el parche proporcionado por Microsoft.

Reproducción - a través del correo electrónico
------------------------------------------------------------
El gusano infecta ordenadores remotos a través de la red local de las siguientes dos formas:

1) Crea archivos .EML (en el 95% de los casos) o archivos *.NWS (en el restante 5%) con nombres aleatorios. Como resultado, esos archivos EML y NWS estan por todas partes en los ordenadores infectados. Puede llegar a haber miles de ellos tanto en el ordenador infectado como en la red local. Esos archivos contienen copias del virus en formato de correo electrónico, es decir, solo pueden infectar si son abiertos por un programa de correo. Las extensiones EML y NWS se asocian habitualmente a programas de correo electrónico como el Outlook o el The Bat, por tanto, haciendo doble click sobre ellos se abrirá el programa de correo electrónico y comenzará la infección.

2) El gusano busca páginas web usando determinadas combinaciones nombre+extensión:

*DEFAULT* , *INDEX* , *MAIN* , *README* + .HTML, .HTM, .ASP

Por ejemplo:
default.html
default.htm
index.asp
readme.asp
readme.htm
etc...

En caso de que se encuentre un archivo con ese nombre, el gusano se copia a sí mismo usando el formato de correo electrónico con el nombre README.EML y añade al "archivo víctima" un pequeño programa en javascript que lo único que hace es abrir el archivo README.EML cada vez que se abre dicho archivo infectado.

Como resultado el virus afecta a páginas web, por lo que puede introducirse en ordenadores que visiten dicha web.

Reproducción - Infección de un servidor web
----------------------------------------------------------

Para infectar un servidor Web el virus utiliza el comando "tftp" y activa un servidor TFTP en la máquina infectada (la máquina actual) para ejecutar el comando "get data" en la máquina víctima (servidor web remoto).
El nombre del archivo que se envía al servidor web es ADMIN.DLL

Este método es el mismo que utiliza el conocido gusano CodeRed (Código Rojo).

Cualquier usuario que visite una web infectada puede acabar infectado él mismo.

Consecuencias
---------------------

Cuando el virus ha terminado de infectar el ordenador, ejecuta los siguientes pasos:

- Añade el usuario "guest" al grupo de administradores del ordenador. De ese modo, cualquier usuario que se identifique como "Guest" ante la máquina infectada tendrá todos los permisos para trabajar en dicho ordenador.

- Comparte todas las unidades de discos duros locales a través de la red.

De este modo, se asegura de dejar una puerta abierta a ese ordenador a través de la red local o de Internet.

Más información en la página web:

http://www.avp-es.com/virus/nimda.html

AVP protege contra este virus desde el Martes 18 de Septiembre a las 18:00h

Recomendamos a todos los usuarios que actualicen sus antivirus lo antes posible.

Acerca de Kaspersky Labs & Ontinet.com, S.L.

Kaspersky Lab es una compañía con un vertiginoso crecimiento que cuenta con oficinas en Moscú (Rusia), Cambridge (Reino Unido) y Walnut Creek (EEUU). Habiendo empezado en el mundo de los negocios en 1.992 hasta consolidar su nueva imagen y el actual nombre de la empresa en 1.997, concentra todos sus esfuerzos en el desarrollo de tecnología líder en el mundo de detección y eliminación de virus. Kaspersky lab cuenta con distribuidores en más de 40 países de todo el mundo y sus productos están traducidos a más de 13 idiomas.

Ontinet.com, S.L. es un distribuidor oficial para España y Latinoamerica de los productos de Kaspersky Labs desde 1.996, y cuenta con la mayoría de las versiones traducidas al castellano, incluyendo documentación y ayuda en linea, además de varias listas de correo en castellano totalmente gratuitas con soporte del software de Kaspersky Labs y boletines informativos especiales con información siempre actualizada acerca del mundo de los virus.

Para una mayor información acerca de los productos Kaspersky en España y LatinoAmerica puede visitar nuestras páginas web en http://www.avp-es.com o http://www.kaspersky-es.com, y http://www.avp-soporte.com

Ontinet.com, S.L.
http://www.avp-es.com
http://www.kaspersky-es.com
http://www.avp-soporte.com

---------------------------------------
Distribuidor para España y LatinoAmerica del Kaspersky Antivirus
(antiguo A.V.P. - Antiviral Toolkit Pro) desde 1.996
---------------------------------------
Ontinet.com, S.L.
Avda. Pio XII, 6, bajos
46870 Ontinyent - Valencia (España)
Telf.- +34-902.33.48.33
Fax.- +34-902.33.48.33
info@kaspersky-es.com
info@avp-es.com
----------------------------------------