| Artículos | 01 NOV 2001

Vulnerabilidad: Gusano Nimda

Tags: Histórico
Daniel Avila.

Vulnerabilidad: Gusano Nimda

Número: 181, Noviembre de 2001
Sección: Seguridad Página: 336

Daniel Avila Rubio (davila@idg.es)


http://vil.mcafee.com/dispVirus.asp?virus_k=99209&


El gusano Nimda (también conocido como Concept Virus v5) tiene la peculiaridad de propagarse por múltiples vías, aprovechando vulnerabilidades del software tanto en las máquinas cliente como en los servidores:

- De cliente a cliente vía e-mail: el gusano se envía a sí mismo enmascarado en un mensaje de correo usando Microsoft Outlook a todos los contactos que aparezcan en la libreta de direcciones. La primera parte del mensaje está codificada en el tipo MIME "text/html" pero no contiene texto, y así es como se presenta al usuario, pero la segunda parte contiene una cabecera MIME "audio/x-wav", que en realidad contiene un fichero adjunto codificado en Base64 llamado readme.exe. Debido al fallo comentado el código del fichero adjunto se ejecuta simplemente con previsualizar el mensaje.

- De cliente a servidor: explorando la vulnerabilidad de Microsoft IIS 4.0 / 5.0 respecto a caracteres UNICODE (PC World febrero 2001).

- De cliente a servidor buscando puertas traseras dejadas por el gusano "Code Red II" y "sadmin/IIS" (PC World julio-agosto 2001): este método de propagación nunca había sido usado antes por un gusano, y consiste en escanear sitios web en busca de restos de otros gusanos para poder comprometer el servidor con facilidad.

- De servidor a cliente mediante el fallo EML de Internet Explorer (PC World mayo 2001): una vez el servidor IIS está infectado, Nimda se copia a sí mismo en todos los directorios del sistema bajo el nombre README.EML. Si alguien ejecuta ese archivo será infectado, incluyendo los ordenadores que se encuentren en una red local y dispongan de recursos públicos compartidos. Además, si detecta que el directorio donde se va a copiar contiene archivos con contenido web (afecta a HTML y ASP) añade el siguiente fragmento de código JavaScript a todos los archivos:

<script language="JavaScript">window.open("readme.eml", null, "resizable=no,top=6000,left=6000")</script>.

Por ello, cada vez que un cliente sin los correspondientes parches acceda a cualquier archivo de este servidor web, será automáticamente infectado.

Debido a estas enormes posibilidades de expansión, Nimda es considerado como el gusano más peligroso de la red, aunque por suerte los análisis iniciales muestran que no contiene un payload destructivo, por lo que su único fin es la propagación masiva.

El impacto es bastante grave, ya que una vez infectado es posible ejecutar comandos con los privilegios de seguridad del contexto del sistema en máquinas que no tengan parcheado el IIS. A su vez, las máquinas comprometidas tienen un alto riesgo de infectar a otros lugares de Internet, e incluso la actividad de red de Nimda en busca de otras victimas puede causar un ataque DoS (Denial Of Service, denegación de servicio).

Por suerte, todas las vulnerabilidades que usa Nimda para propagarse son conocidas y muchos servidores deberían estar protegidos, pero imagínese lo que hubiera podido suceder si un virus de esta magnitud usase vulnerabilidades nuevas para las que no existiese solución rápida.

Solución
Para determinar si un servidor ha sido comprometido busque en su servidor el archivo "root.exe" y elimínelo. Esto indicaría que ha sido infectado por el virus "Code Red II" o sadmin/IIS haciendo el sistema vulnerable a Nimda. También pruebe a buscar "admin..dll" y elimínelo, ya que es uno de los archivos que genera Nimda para después propagarse.

Aún así, la mejor forma de estar completamente seguro de haber eliminado este gusano es reinstalar el sistema operativo desde un medio seguro (como el CD-ROM original), y después instalar todos los últimos parches y "Service Packs" de que disponga Microsoft en su web.

Microsoft ha publicado un parche acumulativo específicamente dedicado a Nimda que incluye todos los parches necesarios para protegerse en uno en www.microsoft.com/technet/security/bulletin/MS01-044.asp.

En la página web www.caida.org/dynamic/analysis/security/nimda se puede encontrar un análisis más exhaustivo incluyendo gráficas animadas.

(pulse sobre la imagen para ampliarla)

La mayoría del software comercial antivirus también dispone de medios para desinfectar sistemas comprometidos por Nimda, por lo que es recomendable descargar siempre la última actualización.

 

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información