Instalación
Cuando es ejecutado, el virus se copia a sí mismo en:
– el directorio WINDOWS con el nombre MMC.EXE – el directorio WINDOWSSYSTEM con el nombre LOAD.EXE – el directorio WINDOWSSYSTEM con el nombre RICHED20.DLL que es un archivo de Windows. El archivo original se pierde, con lo que para recuperarlo hay que copiarlo desde el CDRom original de Windows
También crea diversas copias de sí mismo en el directorio temporal de Windows con nombres aleatorios con el patrón MEP
.TMP y MEP .TMP.EXE, por ejemplo:
mep01A2.TMP mep1A0.TMP.exe mepE002.TMP.exe mepE003.TMP.exe mepE004.TMP
Los archivos EXE (y también el LOAD.EXE) tienen atributos de Ocultos y de Sistema, lo que hace que no puedan ser vistos dependiendo de la configuración de Windows.
El gusano también modifica el fichero de inicio SYSTEM.INI, del siguiente modo:
[boot] shell=explorer.exe load.exe -dontrunold
De esa forma se asegura que será ejecutado cada vez que se reinicie el ordenador. Para desinfectar completamente el ordenador es necesario modificar dicha l¡nea y dejarla en su estado original, que es:
[boot] shell=explorer.exe
Reproducci¢n – a trav’s del correo electr¢nico
Para recolectar direcciones de correo electr¢nico a infectar, el virus busca archivos .HTM y .HTML (p ginas web) en el disco duro buscando direcciones, y adem s, utilizando el MAPI de Windows accede al cliente de correo y utiliza las direcciones que encuentra.
Los mensajes infectados que env¡a son en formato HTML y tienen la siguiente estructura:
Asunto: aleatorio o en blanco Cuerpo: vac¡o Fichero adjunto: README.EXE
El «Asunto» depender de un nombre de archivo aleatorio de documentos que encuentre en la carpeta «Mis Documentos», o tambi’n de cualquier documento del disco duro C:
Para introducirse en el ordenador el virus utiliza una vulnerabilidad de Windows muy conocida (desde el 29/03/2001) que permite que el fichero adjunto de un determinado mensaje se ejecute autom ticamente al leer el mensaje.
Informaci¢n sobre dicha vulnerabilidad aparece en la siguiente p gina de Microsoft (en ingl’s):
Microsoft Security Bulletin (MS01-020): Incorrect MIME Header Can Cause IE to Execute E-mail Attachment
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
Existe un parche para dicha vulnerabilidad que puede ser descargado desde la siguiente p gina web:
http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp
Es extremadamente recomendado instalar el parche proporcionado por Microsoft.
Reproducci¢n – a trav’s del correo electr¢nico
El gusano infecta ordenadores remotos a trav’s de la red local de las siguientes dos formas:
1) Crea archivos .EML (en el 95% de los casos) o archivos .NWS (en el restante 5%) con nombres aleatorios. Como resultado, esos archivos EML y NWS estan por todas partes en los ordenadores infectados. Puede llegar a haber miles de ellos tanto en el ordenador infectado como en la red local. Esos archivos contienen copias del virus en formato de correo electr¢nico, es decir, solo pueden infectar si son abiertos por un programa de correo. Las extensiones EML y NWS se asocian habitualmente a programas de correo electr¢nico como el Outlook o el The Bat, por tanto, haciendo doble click sobre ellos se abrir el programa de correo electr¢nico y comenzar la infecci¢n.
2) El gusano busca p ginas web usando determinadas combinaciones nombre+extensi¢n:
DEFAULT , INDEX , MAIN , README + .HTML, .HTM, .ASP
Por ejemplo: default.html default.htm index.asp readme.asp readme.htm etc…
En caso de que se encuentre un archivo con ese nombre, el gusano se copia a s¡ mismo usando el formato de correo electr¢nico con el nombre README.EML y a_ade al «archivo v¡ctima» un peque_o programa en javascript que lo onico que hace es abrir el archivo README.EML cada vez que se abre dicho archivo infectado.
Como resultado el virus afecta a p ginas web, por lo que puede introducirse en ordenadores que visiten dicha web.
Reproducci¢n – Infecci¢n de un servidor web
Para infectar un servidor Web el virus utiliza el comando «tftp» y activa un servidor TFTP en la m quina infectada (la m quina actual) para ejecutar el comando «get data» en la m quina v¡ctima (servidor web remoto). El nombre del archivo que se env¡a al servidor web es ADMIN.DLL
Este m’todo es el mismo que utiliza el conocido gusano CodeRed (C¢digo Rojo). Cualquier usuario que visite una web infectada puede acabar infectado ‘l mismo.
Consecuencias
Cuando el virus ha terminado de infectar el ordenador, ejecuta los siguientes pasos:
– A_ade el usuario «guest» al grupo de administradores del ordenador. De ese modo, cualquier usuario que se identifique como «Guest» ante la m quina infectada tendr todos los permisos para trabajar en dicho ordenador.
– Comparte todas las unidades de discos duros locales a trav’s de la red.
De este modo, se asegura de dejar una puerta abierta a ese ordenador a trav’s de la red local o de Internet.
M s informaci¢n en la p gina web:
http://www.avp-es.com/virus/nimda.html
