Kaspersky Threats

Clase

Plataforma

Descripción

Detalles técnicos

Se trata de un gusano de virus que se propaga a través de Internet adjunto a correos electrónicos infectados, y se copia en directorios compartidos a través de una red local, y también ataca máquinas IIS vulnerables (sitios web). El gusano en sí es un archivo EXE de Windows PE de aproximadamente 57 Kb de longitud y está escrito en Microsoft C ++.

Para ejecutar desde un mensaje infectado, el gusano explota una violación de seguridad. El gusano se instala en el sistema y ejecuta una rutina de propagación y una carga útil.

El gusano contiene la siguiente cadena de texto de "derechos de autor":

Instalación

Durante la instalación, el gusano se copia a sí mismo:

en el directorio de Windows con el nombre MMC.EXE

en el directorio del sistema de Windows con RICHED20.DLL (y sobrescribe el archivo original RICHED20.DLL de Windows) y con el nombre LOAD.EXE.

El último se registra en la sección de ejecución automática en un archivo SYSTEM.INI:

[boot] shell = explorer.exe load.exe -dontrunold

El gusano también se copia en un directorio temporal con nombres MEP * .TMP y MA * .TMP.EXE aleatorios, por ejemplo:

mep01A2.TMP
mep1A0.TMP.exe
mepE002.TMP.exe
mepE003.TMP.exe
mepE004.TMP

Los archivos EXE tienen atributos ocultos y del sistema, así como también un archivo LOAD.EXE (ver arriba).

El gusano ejecuta sus rutinas de propagación y carga útil. Según la versión de Windows, el gusano afecta al proceso EXLORER.EXE y puede ejecutar sus rutinas como un proceso de fondo del EXPLORADOR (subproceso).

Difundir por correo electrónico

Para enviar mensajes infectados, el gusano se conecta a una máquina host mediante el protocolo SMTP y envía sus copias a las direcciones de las víctimas.

Para obtener las direcciones de correo electrónico de las víctimas, el gusano usa dos formas:

1. escanea archivos * .HTM y * .HTML y busca cadenas similares al correo electrónico

2. al utilizar MAPI, se conecta a los buzones de correo electrónico de MS Exchange y obtiene direcciones de correo electrónico desde allí.

Los mensajes infectados son de formato HTML y contienen:

Asunto: vacío o aleatorio
Cuerpo: vacío
Adjuntar: README.EXE

Los sujetos se eligen del nombre de un archivo seleccionado al azar de una carpeta:

HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerShell FoldersPersonal

generalmente esto es "Mis documentos" o un archivo seleccionado al azar en la unidad C :.

Para propagarse a partir de mensajes infectados, el gusano usa un truco de "IFRAME"; la vulnerabilidad descrita en:

Boletín de seguridad de Microsoft (MS01-020): el encabezado MIME incorrecto puede hacer que IE ejecute el archivo adjunto de correo electrónico http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

Descargar parche:

http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp

¿Qué causa la vulnerabilidad?

Si un correo HTML contiene un archivo adjunto ejecutable, cuyo tipo MIME se da incorrectamente como uno de varios tipos inusuales, un error en IE provocará que el archivo adjunto se ejecute sin mostrar un cuadro de diálogo de advertencia.

¿Qué hace el parche?

El parche elimina la vulnerabilidad al corregir la tabla de tipos MIME y sus acciones asociadas en IE. Esto tiene el efecto de evitar que los correos electrónicos puedan iniciar automáticamente archivos adjuntos ejecutables.

Difundir a través de la red local

El gusano escanea unidades remotas locales y compartidas (asignadas) de tres maneras diferentes e infecta todos los directorios accesibles allí.

Mientras infecta, el gusano usa dos formas diferentes:

1. Crea archivos .EML (95% del tiempo) o .NWS (5%) con nombres seleccionados al azar. Como resultado, estos archivos EML y NWS están en todas partes en una máquina infectada (y en la red local), y puede haber miles de ellos. Estos archivos contienen la copia del gusano en forma de correo electrónico.

El formulario de correo electrónico es un mensaje de correo electrónico HTML con la copia del gusano en un sobre MIME y con un truco IFRAME como se describió anteriormente. Al ser abierto, este mensaje infecta inmediatamente a una máquina vulnerable.

2. El gusano busca combinaciones de nombre de archivo + extensión:

* DEFAULT *, * INDEX *, * MAIN *, * README * + .HTML, .HTM, .ASP

(* NAME * significa que puede ser una subcadena en el nombre del archivo)

En caso de que se encuentre ese archivo, el gusano se copia a sí mismo en un formulario de correo electrónico con el nombre README.EML, y agrega al archivo HTM / ASP de la víctima un programa JavaScript que simplemente abre el archivo README.EML cuando el HTML / ASP archivo se está abriendo, activando el gusano como resultado.

Como resultado, el gusano infecta las páginas web y puede extenderse a las máquinas que visitan estos sitios web.

Se extiende como un ataque de IIS

Para cargar su archivo a la máquina de la víctima, el gusano usa un comando "tftp" y activa un servidor TFTP temporal en una máquina infectada (actual) para procesar el comando "obtener datos" de la máquina (remota) de la víctima exactamente de la misma manera. como el {ICE "BlueCode": IISWorm_BlueCode} gusano IIS.

El nombre del archivo que se carga en la máquina de la víctima es ADMIN.DLL.

Cargas útiles

La rutina de carga útil agrega al usuario "Invitado" al Grupo de usuarios Administrador (como resultado, un usuario "Invitado" tiene acceso completo a una máquina infectada).

El gusano también abre todas las unidades locales para compartir.

Hay varias variantes del gusano "Nimda".

Todos ellos están muy cerrados al original, y la mayoría de ellos son solo una versión "parcheada" del gusano original – las cadenas de texto en el cuerpo del gusano son reemplazadas por otras cadenas).

Nimda.b

Este es el gusano original "Nimda", sin embargo comprimido por un compresor de archivos PCShrink Win32 PE EXE. Las cuerdas:

README.EXE, README.EML

son reemplazados por:

PUTA !!. SCR, PUTA !!. EML

Nimda.c

Este es exactamente el gusano original "Nimda" aunque comprimido por un compresor UPX.

Nimda.d

Esta variante del gusano se envió a Internet a fines de octubre de 2001. Se extendió en forma comprimida (compresor PECompact), y esta forma tiene un tamaño de 27K.

La única diferencia con respecto al gusano original son las cadenas de texto de "derechos de autor" que están parcheadas en esta versión con el siguiente texto:

HoloCaust Virus.! V.5.2 por Stephan Fernandez.Spain

Nimda.e

Esta es una variante "Nimda" recompilada, y hay varias rutinas menores, ya sea levemente fijadas y / u optimizadas. Esta variante se encontró en estado salvaje a fines de octubre de 2001.

Las diferencias visibles de la versión original del gusano son:

El nombre del archivo adjunto:
SAMPLE.EXE (en lugar de README.EXE)

Los archivos DLL son:
HTTPODBC.DLL y COOL.DLL (en lugar de ADMIN.DLL)

El texto de "copyright" se reemplaza por:
Virus de concepto (CV) V.6, Copyright (C) 2001, (Este es CV, No Nimda).

Enlace al original

Descubra las estadísticas de las amenazas que se propagan en su región

Clase	Net-Worm
Plataforma	Win32
Descripción	Detalles técnicos Se trata de un gusano de virus que se propaga a través de Internet adjunto a correos electrónicos infectados, y se copia en directorios compartidos a través de una red local, y también ataca máquinas IIS vulnerables (sitios web). El gusano en sí es un archivo EXE de Windows PE de aproximadamente 57 Kb de longitud y está escrito en Microsoft C ++. Para ejecutar desde un mensaje infectado, el gusano explota una violación de seguridad. El gusano se instala en el sistema y ejecuta una rutina de propagación y una carga útil. El gusano contiene la siguiente cadena de texto de "derechos de autor": Concepto Virus (CV) V.5, Copyright (C) 2001 RPChina Instalación Durante la instalación, el gusano se copia a sí mismo: en el directorio de Windows con el nombre MMC.EXE en el directorio del sistema de Windows con RICHED20.DLL (y sobrescribe el archivo original RICHED20.DLL de Windows) y con el nombre LOAD.EXE. El último se registra en la sección de ejecución automática en un archivo SYSTEM.INI: [boot] shell = explorer.exe load.exe -dontrunold El gusano también se copia en un directorio temporal con nombres MEP * .TMP y MA * .TMP.EXE aleatorios, por ejemplo: mep01A2.TMP mep1A0.TMP.exe mepE002.TMP.exe mepE003.TMP.exe mepE004.TMP Los archivos EXE tienen atributos ocultos y del sistema, así como también un archivo LOAD.EXE (ver arriba). El gusano ejecuta sus rutinas de propagación y carga útil. Según la versión de Windows, el gusano afecta al proceso EXLORER.EXE y puede ejecutar sus rutinas como un proceso de fondo del EXPLORADOR (subproceso). Difundir por correo electrónico Para enviar mensajes infectados, el gusano se conecta a una máquina host mediante el protocolo SMTP y envía sus copias a las direcciones de las víctimas. Para obtener las direcciones de correo electrónico de las víctimas, el gusano usa dos formas: 1. escanea archivos * .HTM y * .HTML y busca cadenas similares al correo electrónico 2. al utilizar MAPI, se conecta a los buzones de correo electrónico de MS Exchange y obtiene direcciones de correo electrónico desde allí. Los mensajes infectados son de formato HTML y contienen: Asunto: vacío o aleatorio Cuerpo: vacío Adjuntar: README.EXE Los sujetos se eligen del nombre de un archivo seleccionado al azar de una carpeta: HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerShell FoldersPersonal generalmente esto es "Mis documentos" o un archivo seleccionado al azar en la unidad C :. Para propagarse a partir de mensajes infectados, el gusano usa un truco de "IFRAME"; la vulnerabilidad descrita en: Boletín de seguridad de Microsoft (MS01-020): el encabezado MIME incorrecto puede hacer que IE ejecute el archivo adjunto de correo electrónico http://www.microsoft.com/technet/security/bulletin/MS01-020.asp Descargar parche: http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp ¿Qué causa la vulnerabilidad? Si un correo HTML contiene un archivo adjunto ejecutable, cuyo tipo MIME se da incorrectamente como uno de varios tipos inusuales, un error en IE provocará que el archivo adjunto se ejecute sin mostrar un cuadro de diálogo de advertencia. ¿Qué hace el parche? El parche elimina la vulnerabilidad al corregir la tabla de tipos MIME y sus acciones asociadas en IE. Esto tiene el efecto de evitar que los correos electrónicos puedan iniciar automáticamente archivos adjuntos ejecutables. Difundir a través de la red local El gusano escanea unidades remotas locales y compartidas (asignadas) de tres maneras diferentes e infecta todos los directorios accesibles allí. Mientras infecta, el gusano usa dos formas diferentes: 1. Crea archivos .EML (95% del tiempo) o .NWS (5%) con nombres seleccionados al azar. Como resultado, estos archivos EML y NWS están en todas partes en una máquina infectada (y en la red local), y puede haber miles de ellos. Estos archivos contienen la copia del gusano en forma de correo electrónico. El formulario de correo electrónico es un mensaje de correo electrónico HTML con la copia del gusano en un sobre MIME y con un truco IFRAME como se describió anteriormente. Al ser abierto, este mensaje infecta inmediatamente a una máquina vulnerable. 2. El gusano busca combinaciones de nombre de archivo + extensión: * DEFAULT , INDEX , MAIN , README * + .HTML, .HTM, .ASP (* NAME * significa que puede ser una subcadena en el nombre del archivo) En caso de que se encuentre ese archivo, el gusano se copia a sí mismo en un formulario de correo electrónico con el nombre README.EML, y agrega al archivo HTM / ASP de la víctima un programa JavaScript que simplemente abre el archivo README.EML cuando el HTML / ASP archivo se está abriendo, activando el gusano como resultado. Como resultado, el gusano infecta las páginas web y puede extenderse a las máquinas que visitan estos sitios web. Se extiende como un ataque de IIS Para cargar su archivo a la máquina de la víctima, el gusano usa un comando "tftp" y activa un servidor TFTP temporal en una máquina infectada (actual) para procesar el comando "obtener datos" de la máquina (remota) de la víctima exactamente de la misma manera. como el {ICE "BlueCode": IISWorm_BlueCode} gusano IIS. El nombre del archivo que se carga en la máquina de la víctima es ADMIN.DLL. Cargas útiles La rutina de carga útil agrega al usuario "Invitado" al Grupo de usuarios Administrador (como resultado, un usuario "Invitado" tiene acceso completo a una máquina infectada). El gusano también abre todas las unidades locales para compartir. Hay varias variantes del gusano "Nimda". Todos ellos están muy cerrados al original, y la mayoría de ellos son solo una versión "parcheada" del gusano original – las cadenas de texto en el cuerpo del gusano son reemplazadas por otras cadenas). Nimda.b Este es el gusano original "Nimda", sin embargo comprimido por un compresor de archivos PCShrink Win32 PE EXE. Las cuerdas: README.EXE, README.EML son reemplazados por: PUTA !!. SCR, PUTA !!. EML Nimda.c Este es exactamente el gusano original "Nimda" aunque comprimido por un compresor UPX. Nimda.d Esta variante del gusano se envió a Internet a fines de octubre de 2001. Se extendió en forma comprimida (compresor PECompact), y esta forma tiene un tamaño de 27K. La única diferencia con respecto al gusano original son las cadenas de texto de "derechos de autor" que están parcheadas en esta versión con el siguiente texto: HoloCaust Virus.! V.5.2 por Stephan Fernandez.Spain Nimda.e Esta es una variante "Nimda" recompilada, y hay varias rutinas menores, ya sea levemente fijadas y / u optimizadas. Esta variante se encontró en estado salvaje a fines de octubre de 2001. Las diferencias visibles de la versión original del gusano son: El nombre del archivo adjunto: SAMPLE.EXE (en lugar de README.EXE) Los archivos DLL son: HTTPODBC.DLL y COOL.DLL (en lugar de ADMIN.DLL) El texto de "copyright" se reemplaza por: Virus de concepto (CV) V.6, Copyright (C) 2001, (Este es CV, No Nimda).
	Enlace al original
	Descubra las estadísticas de las amenazas que se propagan en su región

Net-Worm.Win32.Nimda

Detalles técnicos

Nimda.b

Nimda.c

Nimda.d

Nimda.e