Virus Nimda

 

El virus Nimda es un gusano informático que se descubrió por primera vez en septiembre de 2001. Se destacó por su rápida propagación y por el hecho de que podía propagarse a través de múltiples métodos, incluidos archivos adjuntos de correo electrónico, explotando vulnerabilidades en servidores de red y por propagarse a través de redes de intercambio de archivos. 

El virus Nimda causó interrupciones significativas en las redes informáticas de todo el mundo y fue particularmente destructivo para los servidores que ejecutan el sistema operativo Microsoft Windows. El virus fue nombrado "Nimda" por la empresa de software antivirus Trend Micro, que es "admin" escrito al revés, ya que el virus se dirigía a los administradores en un intento de obtener acceso a sus sistemas. No se sabe quién creó el virus Nimda ni cuáles fueron sus motivaciones.

Cómo se activa: 

          Cuando se abre el mensaje, o se visualiza éste desde la vista previa.  

Modo de distribución: 

W32/NIMDA se transmite a E -Mail como un mensaje con un formato especial. Para esto, se adjunta o incluye un mensaje postal, un archivo llamado ReadMe.exe. Este archivo adjunto puede ser del tipo "audio/x-wav".           En el interior del mensaje se puede encontrar la siguiente cadena, que indica su posible procedencia: Concept Virus(CV) V.5, Copyright(C)2001 R.P.China            W32/Nimda produce la infección de forma automática, con la simple apertura del mensaje o la visualización del mismo en la vista previa. Sin embargo, tenga en cuenta que una vez que un virus está presente en un servidor afectado, puede propagarse a otros servidores con la misma vulnerabilidad. Utilice el comando tftp para realizar esta acción. De este modo consiguie enviar el archivo ADMIN.DLL con el código del virus, con el fin de ejecutarlo a continuación. Es en este momento cuando sobreescribe con el código del virus el fichero MMC.EXE (este fichero corresponde a la aplicación Microsoft Management Console).             Por otra parte, también modifica los siguientes ficheros: DEFAULT, INDEX, MAIN y README, con extensión .html, .htm y .asp, incluyendo un script que envía automáticamente el fichero README.EML (copia del mensaje original que contiene el fichero adjunto README.EXE).           Adicionalmente, el gusano se puede propagar a través de recursos compartidos en red, siempre que estos recursos estén accesibles. Tenga en cuenta que una de las acciones que realiza este virus en Windows NT y 2000 es crear el usuario invitado, incluirlo en el grupo de administradores locales y compartir las unidades locales como C$. En consecuencia, un servidor infectado y luego desinfectado con el antivirus será muy vulnerable a los ataques de virus de otras estaciones o servidores infectados en la red local. 

Síntomas de infección:

 El primer síntoma (de la llegada del virus al sistema, pero no de que se haya tenido lugar la infección) es la aparición de un determinado mensaje de correo electrónico con un formato especial. Éste llevará incluido o adjunto un archivo, cuyo nombre es README.EXE. La simple apertura del mensaje o la visualización del mismo desde la vista previa, produce la infección automática del sistema. En ese momento, el programa cliente de correo (Outlook, u Outlook Express) ejecuta automáticamente el archivo incluido en el mensaje. Esto se debe a que interpreta que es un archivo de audio que debe reproducirse automáticamente. Este archivo adjunto afirma ser de tipo audio/x-wav y está codificado en base64. Después de la decodificación, el tamaño del ejecutable que contiene la versión final es de 57.344 bytes. Una de las principales acciones de este virus es buscar en todas las unidades del sistema archivos con extensión EXE e infectarlos. En este sentido, noté la particularidad de que los archivos Winzip.exe no están infectados. Sin embargo, el gusano también escanea todas las unidades del sistema (incluidas las unidades conectadas) en busca de documentos con una extensión DOC. Cada vez que encuentra un fichero .DOC copia el fichero infectado RICHED20.DLL en el directorio donde se encuentre el documento (en el caso de que no existitera previamente). De este modo, cada vez que se abra un documento DOC se cargará la mencionada librería infectada. Otra acción que realiza el gusano es crear archivos infectados con extensiones .eml y .nws. Los nombres de estos archivos son aleatorios. 

Síntomas de infección: 

El primer síntoma (de la llegada del virus al sistema, pero no de que se haya tenido lugar la infección) es la aparición de un determinado mensaje de correo electrónico con un formato especial. Éste llevará incluido o adjunto un archivo, cuyo nombre es README.EXE. Simplemente abrir el mensaje o verlo desde la vista previa infecta automáticamente el sistema. En este momento, el programa cliente de correo (Outlook o Outlook Express) ejecuta automáticamente el archivo incluido en el mensaje. Esto es debido a que interpreta que se trata de un archivo de audio que debe ser reproducido de forma automática. Este fichero adjunto pretende ser del tipo audio/x-wav y se encuentra codificado en formato base64. Después de la decodificación, el tamaño del ejecutable que contiene la versión final es de 57.344 bytes. Una de las principales acciones de este virus es buscar en todas las unidades del sistema archivos con extensión EXE e infectarlos. En este sentido, se ha observado la peculiaridad de que el fichero Winzip.exe no resulta infectado. Por otra parte, este gusano también recorre todas las unidades del sistema (incluyendo las mapeadas) en busca de documentos con extensión DOC. Cada vez que encuentra un fichero .DOC copia el fichero infectado RICHED20.DLL en el directorio donde se encuentre el documento (en el caso de que no existitera previamente). De este modo, cada vez que se abra un documento DOC se cargará la mencionada librería infectada. Otra acción que realiza el gusano es crear archivos infectados con extensiones .eml y .nws. Los nombres de estos archivos son aleatorios.