ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN. Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.
Clase
Net-Worm
Plataforma
Win32

Clase de padre: VirWare

Los virus y gusanos son programas maliciosos que se auto replican en computadoras o redes de computadoras sin que el usuario lo sepa; cada copia subsiguiente de dichos programas maliciosos también puede auto-replicarse. Los programas maliciosos que se propagan a través de redes o infectan máquinas remotas cuando el "propietario" les ordena hacerlo (p. Ej., Puertas traseras) o programas que crean copias múltiples que no pueden autorreplicarse no forman parte de la subclase Virus y gusanos. La principal característica utilizada para determinar si un programa está clasificado como un comportamiento separado dentro de la subclase Viruses and Worms es cómo se propaga el programa (es decir, cómo el programa malicioso distribuye copias de sí mismo a través de recursos locales o de red). como archivos enviados como archivos adjuntos de correo electrónico, a través de un enlace a un recurso web o FTP, a través de un enlace enviado en un mensaje ICQ o IRC, a través de redes de intercambio de archivos P2P, etc. Algunos gusanos se propagan como paquetes de red; estos penetran directamente en la memoria de la computadora y el código del gusano se activa. Los gusanos usan las siguientes técnicas para penetrar computadoras remotas y lanzar copias de sí mismos: ingeniería social (por ejemplo, un mensaje de correo electrónico que sugiere que el usuario abre un archivo adjunto), explotando errores de configuración de red (como copiar a un disco totalmente accesible) y explotando lagunas en el sistema operativo y la seguridad de las aplicaciones. Los virus se pueden dividir de acuerdo con el método utilizado para infectar una computadora: virus de archivos virus de sector de arranque virus de macros virus de script Cualquier programa dentro de esta subclase puede tener funciones de troyano adicionales. También se debe tener en cuenta que muchos gusanos usan más de un método para distribuir copias a través de redes. Las reglas para clasificar objetos detectados con funciones múltiples se deben usar para clasificar estos tipos de gusanos.

Clase: Net-Worm

Net-Worms se propagan a través de redes informáticas. La característica distintiva de este tipo de gusano es que no requiere acción del usuario para propagarse. Este tipo de gusano generalmente busca vulnerabilidades críticas en el software que se ejecuta en las computadoras en red. Para infectar las computadoras en la red, el gusano envía un paquete de red especialmente diseñado (llamado exploit) y como resultado el código del gusano (o parte del código del gusano) penetra en la computadora de la víctima y se activa. A veces, el paquete de red solo contiene la parte del código del gusano que descargará y ejecutará un archivo que contiene el módulo principal del gusano. Algunos gusanos de red usan varios exploits simultáneamente para propagarse, lo que aumenta la velocidad a la que encuentran víctimas.

Más información

Plataforma: Win32

Win32 es una API en sistemas operativos basados ​​en Windows NT (Windows XP, Windows 7, etc.) que admite la ejecución de aplicaciones de 32 bits. Una de las plataformas de programación más extendidas en el mundo.

Descripción

Detalles técnicos

Se trata de un gusano de virus que se propaga a través de Internet adjunto a correos electrónicos infectados, y se copia en directorios compartidos a través de una red local, y también ataca máquinas IIS vulnerables (sitios web). El gusano en sí es un archivo EXE de Windows PE de aproximadamente 57 Kb de longitud y está escrito en Microsoft C ++.

Para ejecutar desde un mensaje infectado, el gusano explota una violación de seguridad. El gusano se instala en el sistema y ejecuta una rutina de propagación y una carga útil.

El gusano contiene la siguiente cadena de texto de "derechos de autor":

Concepto Virus (CV) V.5, Copyright (C) 2001 RPChina

Instalación

Durante la instalación, el gusano se copia a sí mismo:

en el directorio de Windows con el nombre MMC.EXE

en el directorio del sistema de Windows con RICHED20.DLL (y sobrescribe el archivo original RICHED20.DLL de Windows) y con el nombre LOAD.EXE.

El último se registra en la sección de ejecución automática en un archivo SYSTEM.INI:

[boot] shell = explorer.exe load.exe -dontrunold

El gusano también se copia en un directorio temporal con nombres MEP * .TMP y MA * .TMP.EXE aleatorios, por ejemplo:

mep01A2.TMP
mep1A0.TMP.exe
mepE002.TMP.exe
mepE003.TMP.exe
mepE004.TMP

Los archivos EXE tienen atributos ocultos y del sistema, así como también un archivo LOAD.EXE (ver arriba).

El gusano ejecuta sus rutinas de propagación y carga útil. Según la versión de Windows, el gusano afecta al proceso EXLORER.EXE y puede ejecutar sus rutinas como un proceso de fondo del EXPLORADOR (subproceso).

Difundir por correo electrónico

Para enviar mensajes infectados, el gusano se conecta a una máquina host mediante el protocolo SMTP y envía sus copias a las direcciones de las víctimas.

Para obtener las direcciones de correo electrónico de las víctimas, el gusano usa dos formas:

1. escanea archivos * .HTM y * .HTML y busca cadenas similares al correo electrónico

2. al utilizar MAPI, se conecta a los buzones de correo electrónico de MS Exchange y obtiene direcciones de correo electrónico desde allí.

Los mensajes infectados son de formato HTML y contienen:

Asunto: vacío o aleatorio
Cuerpo: vacío
Adjuntar: README.EXE
Los sujetos se eligen del nombre de un archivo seleccionado al azar de una carpeta:

HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerShell FoldersPersonal

generalmente esto es "Mis documentos" o un archivo seleccionado al azar en la unidad C :.

Para propagarse a partir de mensajes infectados, el gusano usa un truco de "IFRAME"; la vulnerabilidad descrita en:

Boletín de seguridad de Microsoft (MS01-020): el encabezado MIME incorrecto puede hacer que IE ejecute el archivo adjunto de correo electrónico http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

Descargar parche:

http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp

¿Qué causa la vulnerabilidad?

Si un correo HTML contiene un archivo adjunto ejecutable, cuyo tipo MIME se da incorrectamente como uno de varios tipos inusuales, un error en IE provocará que el archivo adjunto se ejecute sin mostrar un cuadro de diálogo de advertencia.

¿Qué hace el parche?

El parche elimina la vulnerabilidad al corregir la tabla de tipos MIME y sus acciones asociadas en IE. Esto tiene el efecto de evitar que los correos electrónicos puedan iniciar automáticamente archivos adjuntos ejecutables.

Difundir a través de la red local

El gusano escanea unidades remotas locales y compartidas (asignadas) de tres maneras diferentes e infecta todos los directorios accesibles allí.

Mientras infecta, el gusano usa dos formas diferentes:

1. Crea archivos .EML (95% del tiempo) o .NWS (5%) con nombres seleccionados al azar. Como resultado, estos archivos EML y NWS están en todas partes en una máquina infectada (y en la red local), y puede haber miles de ellos. Estos archivos contienen la copia del gusano en forma de correo electrónico.

El formulario de correo electrónico es un mensaje de correo electrónico HTML con la copia del gusano en un sobre MIME y con un truco IFRAME como se describió anteriormente. Al ser abierto, este mensaje infecta inmediatamente a una máquina vulnerable.

2. El gusano busca combinaciones de nombre de archivo + extensión:

* DEFAULT *, * INDEX *, * MAIN *, * README * + .HTML, .HTM, .ASP

(* NAME * significa que puede ser una subcadena en el nombre del archivo)

En caso de que se encuentre ese archivo, el gusano se copia a sí mismo en un formulario de correo electrónico con el nombre README.EML, y agrega al archivo HTM / ASP de la víctima un programa JavaScript que simplemente abre el archivo README.EML cuando el HTML / ASP archivo se está abriendo, activando el gusano como resultado.

Como resultado, el gusano infecta las páginas web y puede extenderse a las máquinas que visitan estos sitios web.

Se extiende como un ataque de IIS

Para cargar su archivo a la máquina de la víctima, el gusano usa un comando "tftp" y activa un servidor TFTP temporal en una máquina infectada (actual) para procesar el comando "obtener datos" de la máquina (remota) de la víctima exactamente de la misma manera. como el {ICE "BlueCode": IISWorm_BlueCode} gusano IIS.

El nombre del archivo que se carga en la máquina de la víctima es ADMIN.DLL.

Cargas útiles

La rutina de carga útil agrega al usuario "Invitado" al Grupo de usuarios Administrador (como resultado, un usuario "Invitado" tiene acceso completo a una máquina infectada).

El gusano también abre todas las unidades locales para compartir.

Hay varias variantes del gusano "Nimda".

Todos ellos están muy cerrados al original, y la mayoría de ellos son solo una versión "parcheada" del gusano original - las cadenas de texto en el cuerpo del gusano son reemplazadas por otras cadenas).

Nimda.b

Este es el gusano original "Nimda", sin embargo comprimido por un compresor de archivos PCShrink Win32 PE EXE. Las cuerdas:

README.EXE, README.EML

son reemplazados por:

PUTA !!. SCR, PUTA !!. EML

Nimda.c

Este es exactamente el gusano original "Nimda" aunque comprimido por un compresor UPX.

Nimda.d

Esta variante del gusano se envió a Internet a fines de octubre de 2001. Se extendió en forma comprimida (compresor PECompact), y esta forma tiene un tamaño de 27K.

La única diferencia con respecto al gusano original son las cadenas de texto de "derechos de autor" que están parcheadas en esta versión con el siguiente texto:

HoloCaust Virus.! V.5.2 por Stephan Fernandez.Spain

Nimda.e

Esta es una variante "Nimda" recompilada, y hay varias rutinas menores, ya sea levemente fijadas y / u optimizadas. Esta variante se encontró en estado salvaje a fines de octubre de 2001.

Las diferencias visibles de la versión original del gusano son:

El nombre del archivo adjunto:
SAMPLE.EXE (en lugar de README.EXE)

Los archivos DLL son:
HTTPODBC.DLL y COOL.DLL (en lugar de ADMIN.DLL)

El texto de "copyright" se reemplaza por:
Virus de concepto (CV) V.6, Copyright (C) 2001, (Este es CV, No Nimda).

Leer más

Conozca las estadísticas de las vulnerabilidades que se propagan en su región statistics.securelist.com

¿Has encontrado algún error en la descripción de esta vulnerabilidad? ¡Háznoslo saber!
Kaspersky Next:
ciberseguridad redefinida
Leer más
Nuevo Kaspersky
¡Su vida digital merece una protección completa!
Leer más
Confirm changes?
Your message has been sent successfully.