W32/Nimda.A@mm (alias Nimda) es un peligroso virus de correo electrónico que se ejecuta de forma automática, simplemente con la vista previa del mensaje que lo contiene. Se transmite por correo electrónico utilizando una vulnerabilidad descubierta por el experto en seguridad Juan Carlos García Cuartango en el navegador Internet explorer 5 y los clientes de correo Outlook y Outlook Express.
Esta vulnerabilidad reúne dos características: por una parte utiliza un código HTML, que genera un frame, y, por otra, utiliza un fichero anexado codificado en base64 marcado como audio/x-wav. Ambas acciones confunden al componente del Internet Explorer, que ofrece los servicios de browser a los lectores de correo de Microsoft y es utilizado por el propio Internet Explorer de forma que le hace creer que en realidad se trata de un fichero de audio que debe ser reproducido (ejecutado) de forma automática en cuanto se abre el mensaje.
Método de infección
Una vez que el mensaje llega al usuario y éste abre el mensaje o lo muestra en la vista previa, el cliente de correo (Outlook u Outlook Express) ejecuta autom ticamente el fichero anexado y se produce la infecci¢n. Adem s se env¡a a trav’s de correo electr¢nico conect ndose directamente a Internet a trav’s de comandos SMTP. Para conseguir las direcciones e-mail de sus victimas, hace login al sistema de correo a trav’s de SimpleMAPI y recorre mensajes en busca de direcciones de correo en su interior.
En el interior del mensaje se puede encontrar la siguiente cadena que indica su posible procedencia: «Concept Virus(CV) V.5, Copyright(C)2001 R.P.China»
En el momento en que el mensaje llega al usuario y lo infecta, si el sistema es Windows 9x, el virus se copia a s¡ mismo en el directorio WindowsSystem con el nombre load.exe con atributo oculto. Adem s modifica el fichero SYSTEM.INI a_adiendo la siguiente l¡nea, lo que garantiza su ejecuci¢n en pr¢ximos arranques del sistema: Shell=explorer.exe load.exe -dontrunold.
A continuaci¢n, copia en el directorio WindowsSystem el fichero con el virus con el nombre riched20.dll, tambi’n con atributo oculto. Con esto consigue que el virus sea lanzado cada vez que se ejecute las aplicaciones que utilizan este archivo DLL, entre otros el Wordpad.
Por otra parte, si el sistema es NT o W2000 crea el fichero load.exe en el directorio WinntSystem32; crea el usuario guest; lo incluye en el grupo de administradores locales; realiza un login con dicho usuario, y comparte la unidad C: como C$.
Adem s, utiliza otra vulnerabilidad del IIS para alterar el contenido de las p ginas enumeradas a continauci¢n de forma que, si son visitadas por cualquier usuario, el c¢digo modificado por el virus dentro de estas p ginas HTML abre autom ticamente el fichero readme.eml (formato de mensajes de Outlook Express) que contiene el mensaje con el virus. Dichas p ginas son:
index.html index.asp readme.htm main.html main.asp default.htm
index.htm readme.html readme.asp main.htm default.html default.asp
En este caso, si la versi¢n de Internet Explorer del usuario que abre alguna de estas p ginas tiene la vulnerabilidad mencionada anteriormente, abrir autom ticamente el fichero readme.exe anexado al mensaje readme.eml.
Es importante resaltar que un sistema con la vulnerabilidad de Internet Explorer mencionado anteriormente, ejecuta autom ticamente los ficheros .eml infectados por este virus si el navegador est configurado con la opci¢n «Permitir la existencia de contenido Web en las carpetas». Este es, sin duda, el efecto m s espectacular que ofrece esta vulnerabilidad.
Detecci¢n y desinfecci¢n
Panda Software recomienda a los usuarios adoptar las siguientes medidas para protegerse contra este nuevo y peligroso virus:
Actualizar el antivirus antes de abrir el cliente de correo electr¢nico. En estos momentos, Panda Software dispone de la correspondiente vacuna para este virus en todas sus soluciones de seguridad. Una vez actualizado el antivirus, se debe realizar un an lisis de todos los sistemas de ficheros y mensajes.
o Activar la opci¢n de seguridad de Internet Explorer y Outlook al m ximo nivel.
o Actualizar el servidor IIS. http://www.microsoft.com/ntserver/nts/downloads/critical/q269862/default.asp para Microsoft IIS 4.0 y http://www.microsoft.com/windows2000/downloads/critical/q269862/default.asp para Microsoft IIS 5.0.
o Acceder a las opciones de Configurar el Explorer para «Utilizar carpetas cl sicas de Windows» en vez de «Permitir la existencia de contenido Web en las carpetas». Esto impide que los ficheros .eml infectados sean ejecutados autom ticamente con un s¢lo clic del rat¢n o movimiento del cursor del teclado sobre ellos.
Por otro lado, se puede comprobar si un ordenador ha sido infectado y neutralizar el gusano utilizando el antivirus gratuito on-line Panda ActiveScan.(http://www.pandasoftware.es/activescan/activescan.asp?language=1&Country=62&Partner=1&Ref=PR-AS-104)
Sobre el Laboratorio de Virus de Panda Software
Cuando se recibe un fichero sospechoso de contener un virus, el equipo t’cnico de Panda Software lo analiza inmediatamente y, dependiendo del tipo de virus, las acciones que se realizan pueden incluir: desensamblaje, chequeo integral, an lisis del c¢digo, etc. Si realmente el fichero contiene un nuevo virus, se desarrollan las rutinas de detecci¢n y desinfecci¢n que son distribuidas r pidamente a los usuarios de sus soluciones antivirus.
