Nimda.D llega en un fichero adjunto con el nombre SAMPLE.EXE. En líneas generales, W32/Nimda.D es un peligroso virus de correo electrónico que se ejecuta de forma automática, simplemente con la vista previa del mensaje que lo contiene. Para ello se sirve de una conocida vulnerabilidad descubierta recientemente en el navegador Internet Explorer 5 y los clientes de correo Outlook y Outlook Express. Por otra parte, también aprovecha una vulnerabilidad de Internet Information Server (IIS) para modificar páginas web de forma que al visitarlas se provoque una nueva infección.
El modo de actuar de Nimda.D es similar al de Nimda, exceptuando las siguientes diferencias:
– El gusano crea diferentes ficheros ocultos en el directorio temporal de Windows, con los nombre MEPXXXX.TMP y MEPXXXX.TMP.EXE, donde XXXX representa una combinación aleatoria de 4 números y/o letras como, por ejemplo, MEPA2F0.TMP, MEPF345.TMP.EXE. De igual manera, crea en el directorio de Windows un fichero denominado Wininit.ini.
– Debido a un error del virus, ‘ste infecta los ficheros ejecutables varias veces, ya que no comprueba si ‘stos han sido infectados con anterioridad. De esta manera, el c¢digo del gusano puede aparecer m s de una vez dentro de cada archivo infectado.
– En el interior del c¢digo podemos encontrar el siguiente texto: «Concept Virus(CV) V.6, Copyright (C) 2001, (This’s CV, No Nimda.)»
Panda Software ya ha publicado en su p gina web informaci¢n detallada sobre Nimda.D y recuerda a los usuarios la necesidad de actualizar sus antivirus con la mayor rapidez, para evitar posibles infecciones por parte de este virus o de cualquiera de las otras variantes de Nimda. En cualquier caso, la multinacional espa_ola ha puesto a disposici¢n de cualquier usuario, de forma totalmente gratuita, PQREMOVE, capaz de limpiar cualquier equipo que haya resultado infectado por el virus Nimda.D.
Por oltimo, la compa_¡a advierte a los usuarios que sus antivirus detectan como W32/Nimda.D tanto a la variante Nimda.D como a Nimda.E.
