Clase de padre: VirWare
Los virus y gusanos son programas maliciosos que se auto replican en computadoras o redes de computadoras sin que el usuario lo sepa; cada copia subsiguiente de dichos programas maliciosos también puede auto-replicarse. Los programas maliciosos que se propagan a través de redes o infectan máquinas remotas cuando el "propietario" les ordena hacerlo (p. Ej., Puertas traseras) o programas que crean copias múltiples que no pueden autorreplicarse no forman parte de la subclase Virus y gusanos. La principal característica utilizada para determinar si un programa está clasificado como un comportamiento separado dentro de la subclase Viruses and Worms es cómo se propaga el programa (es decir, cómo el programa malicioso distribuye copias de sí mismo a través de recursos locales o de red). como archivos enviados como archivos adjuntos de correo electrónico, a través de un enlace a un recurso web o FTP, a través de un enlace enviado en un mensaje ICQ o IRC, a través de redes de intercambio de archivos P2P, etc. Algunos gusanos se propagan como paquetes de red; estos penetran directamente en la memoria de la computadora y el código del gusano se activa. Los gusanos usan las siguientes técnicas para penetrar computadoras remotas y lanzar copias de sí mismos: ingeniería social (por ejemplo, un mensaje de correo electrónico que sugiere que el usuario abre un archivo adjunto), explotando errores de configuración de red (como copiar a un disco totalmente accesible) y explotando lagunas en el sistema operativo y la seguridad de las aplicaciones. Los virus se pueden dividir de acuerdo con el método utilizado para infectar una computadora: virus de archivos virus de sector de arranque virus de macros virus de script Cualquier programa dentro de esta subclase puede tener funciones de troyano adicionales. También se debe tener en cuenta que muchos gusanos usan más de un método para distribuir copias a través de redes. Las reglas para clasificar objetos detectados con funciones múltiples se deben usar para clasificar estos tipos de gusanos.Clase: Net-Worm
Net-Worms se propagan a través de redes informáticas. La característica distintiva de este tipo de gusano es que no requiere acción del usuario para propagarse. Este tipo de gusano generalmente busca vulnerabilidades críticas en el software que se ejecuta en las computadoras en red. Para infectar las computadoras en la red, el gusano envía un paquete de red especialmente diseñado (llamado exploit) y como resultado el código del gusano (o parte del código del gusano) penetra en la computadora de la víctima y se activa. A veces, el paquete de red solo contiene la parte del código del gusano que descargará y ejecutará un archivo que contiene el módulo principal del gusano. Algunos gusanos de red usan varios exploits simultáneamente para propagarse, lo que aumenta la velocidad a la que encuentran víctimas.Más información
Plataforma: Win32
Win32 es una API en sistemas operativos basados en Windows NT (Windows XP, Windows 7, etc.) que admite la ejecución de aplicaciones de 32 bits. Una de las plataformas de programación más extendidas en el mundo.Descripción
Detalles técnicos
Se trata de un gusano de virus que se propaga a través de Internet adjunto a correos electrónicos infectados, y se copia en directorios compartidos a través de una red local, y también ataca máquinas IIS vulnerables (sitios web). El gusano en sí es un archivo EXE de Windows PE de aproximadamente 57 Kb de longitud y está escrito en Microsoft C ++.
Para ejecutar desde un mensaje infectado, el gusano explota una violación de seguridad. El gusano se instala en el sistema y ejecuta una rutina de propagación y una carga útil.
El gusano contiene la siguiente cadena de texto de "derechos de autor":
Concepto Virus (CV) V.5, Copyright (C) 2001 RPChina
Instalación
Durante la instalación, el gusano se copia a sí mismo:
en el directorio de Windows con el nombre MMC.EXE
en el directorio del sistema de Windows con RICHED20.DLL (y sobrescribe el archivo original RICHED20.DLL de Windows) y con el nombre LOAD.EXE.
El último se registra en la sección de ejecución automática en un archivo SYSTEM.INI:
[boot] shell = explorer.exe load.exe -dontrunold
El gusano también se copia en un directorio temporal con nombres MEP * .TMP y MA * .TMP.EXE aleatorios, por ejemplo:
mep01A2.TMP
mep1A0.TMP.exe
mepE002.TMP.exe
mepE003.TMP.exe
mepE004.TMP
Los archivos EXE tienen atributos ocultos y del sistema, así como también un archivo LOAD.EXE (ver arriba).
El gusano ejecuta sus rutinas de propagación y carga útil. Según la versión de Windows, el gusano afecta al proceso EXLORER.EXE y puede ejecutar sus rutinas como un proceso de fondo del EXPLORADOR (subproceso).
Difundir por correo electrónico
Para enviar mensajes infectados, el gusano se conecta a una máquina host mediante el protocolo SMTP y envía sus copias a las direcciones de las víctimas.
Para obtener las direcciones de correo electrónico de las víctimas, el gusano usa dos formas:
1. escanea archivos * .HTM y * .HTML y busca cadenas similares al correo electrónico
2. al utilizar MAPI, se conecta a los buzones de correo electrónico de MS Exchange y obtiene direcciones de correo electrónico desde allí.
Los mensajes infectados son de formato HTML y contienen:
Asunto: vacío o aleatorioLos sujetos se eligen del nombre de un archivo seleccionado al azar de una carpeta:
Cuerpo: vacío
Adjuntar: README.EXE
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerShell FoldersPersonal
generalmente esto es "Mis documentos" o un archivo seleccionado al azar en la unidad C :.
Para propagarse a partir de mensajes infectados, el gusano usa un truco de "IFRAME"; la vulnerabilidad descrita en:
Boletín de seguridad de Microsoft (MS01-020): el encabezado MIME incorrecto puede hacer que IE ejecute el archivo adjunto de correo electrónico http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
Descargar parche:
http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp
¿Qué causa la vulnerabilidad?
Si un correo HTML contiene un archivo adjunto ejecutable, cuyo tipo MIME se da incorrectamente como uno de varios tipos inusuales, un error en IE provocará que el archivo adjunto se ejecute sin mostrar un cuadro de diálogo de advertencia.
¿Qué hace el parche?
El parche elimina la vulnerabilidad al corregir la tabla de tipos MIME y sus acciones asociadas en IE. Esto tiene el efecto de evitar que los correos electrónicos puedan iniciar automáticamente archivos adjuntos ejecutables.
Difundir a través de la red local
El gusano escanea unidades remotas locales y compartidas (asignadas) de tres maneras diferentes e infecta todos los directorios accesibles allí.
Mientras infecta, el gusano usa dos formas diferentes:
1. Crea archivos .EML (95% del tiempo) o .NWS (5%) con nombres seleccionados al azar. Como resultado, estos archivos EML y NWS están en todas partes en una máquina infectada (y en la red local), y puede haber miles de ellos. Estos archivos contienen la copia del gusano en forma de correo electrónico.
El formulario de correo electrónico es un mensaje de correo electrónico HTML con la copia del gusano en un sobre MIME y con un truco IFRAME como se describió anteriormente. Al ser abierto, este mensaje infecta inmediatamente a una máquina vulnerable.
2. El gusano busca combinaciones de nombre de archivo + extensión:
* DEFAULT *, * INDEX *, * MAIN *, * README * + .HTML, .HTM, .ASP
(* NAME * significa que puede ser una subcadena en el nombre del archivo)
En caso de que se encuentre ese archivo, el gusano se copia a sí mismo en un formulario de correo electrónico con el nombre README.EML, y agrega al archivo HTM / ASP de la víctima un programa JavaScript que simplemente abre el archivo README.EML cuando el HTML / ASP archivo se está abriendo, activando el gusano como resultado.
Como resultado, el gusano infecta las páginas web y puede extenderse a las máquinas que visitan estos sitios web.
Se extiende como un ataque de IIS
Para cargar su archivo a la máquina de la víctima, el gusano usa un comando "tftp" y activa un servidor TFTP temporal en una máquina infectada (actual) para procesar el comando "obtener datos" de la máquina (remota) de la víctima exactamente de la misma manera. como el {ICE "BlueCode": IISWorm_BlueCode} gusano IIS.
El nombre del archivo que se carga en la máquina de la víctima es ADMIN.DLL.
Cargas útiles
La rutina de carga útil agrega al usuario "Invitado" al Grupo de usuarios Administrador (como resultado, un usuario "Invitado" tiene acceso completo a una máquina infectada).
El gusano también abre todas las unidades locales para compartir.
Hay varias variantes del gusano "Nimda".
Todos ellos están muy cerrados al original, y la mayoría de ellos son solo una versión "parcheada" del gusano original - las cadenas de texto en el cuerpo del gusano son reemplazadas por otras cadenas).
Nimda.b
Este es el gusano original "Nimda", sin embargo comprimido por un compresor de archivos PCShrink Win32 PE EXE. Las cuerdas:
son reemplazados por:
Nimda.c
Este es exactamente el gusano original "Nimda" aunque comprimido por un compresor UPX.
Nimda.d
Esta variante del gusano se envió a Internet a fines de octubre de 2001. Se extendió en forma comprimida (compresor PECompact), y esta forma tiene un tamaño de 27K.
La única diferencia con respecto al gusano original son las cadenas de texto de "derechos de autor" que están parcheadas en esta versión con el siguiente texto:
HoloCaust Virus.! V.5.2 por Stephan Fernandez.Spain
Nimda.e
Esta es una variante "Nimda" recompilada, y hay varias rutinas menores, ya sea levemente fijadas y / u optimizadas. Esta variante se encontró en estado salvaje a fines de octubre de 2001.
Las diferencias visibles de la versión original del gusano son:
El nombre del archivo adjunto:
SAMPLE.EXE (en lugar de README.EXE)
Los archivos DLL son:
HTTPODBC.DLL y COOL.DLL (en lugar de ADMIN.DLL)
El texto de "copyright" se reemplaza por:
Virus de concepto (CV) V.6, Copyright (C) 2001, (Este es CV, No Nimda).
Leer más
Conozca las estadísticas de las vulnerabilidades que se propagan en su región statistics.securelist.com