|
|
||
SERVICIO ASISTENCIA TECNICA INFORMATICA |
|||
www.satinfo.es | Anterior |
--- URGENTE --- NUEVO VIRUS GUSANO DE GRAN DIFUSION
Llega en un fichero README.EXE anexo a un e-mail o
recibido desde web
Nombre de virus: W32/Nimda@mm
Alias conocidos: W32.Minda@mm
Riesgo Infección: Muy Alto (Bajo, Alto, Muy Alto)
Activación: Crea archivos *.EML con nombres aleatorios en toda la red.
Propagación: Por lectura de email infectado (anexando fichero README.EXE)
Detección: DATS 4161
Motor necesario: 4.0.70
Infección actual: Media (Inicial, Media, Elevada)
Se trata de un nuevo gusano que utiliza la vulnerabilidad del IIS de Microsoft conocida como "Web Server Folder Traversal", sumada a la del incorrecto MIME por la que se puede ejecutar los ficheros anexos a un e-mail, sólo por leer el e-mail, la cual se corrige con los parches de Microsoft al efecto.
Para los parches de Microsoft, en lo referente al IIS
(Internet Information Server), ir a "Web Server Folder Traversal" Vulnerability, y
sobre el MIME con cabecera defectuosa, hay información en el boletín de Microsoft
accesible en: http://microsoft.com/technet/security/bulletin/MS01-020.asp,
y el parche está en: http://microsoft.com/windows/ie/downloads/critical/q290108/default.asp
El virus llega en un e-mail con fichero anexado README.EXE, o bien desde una web visitada,
la cual intenta descargar el gusano. Una vez dentro de un ordenador en red, el virus se
propaga a todas las unidades de la red.
El virus envía mails infectados, vía MAPI, a todas las direcciones que encuentra en el disco duro. Una vez llega a un ordenador, se copia a sí mismo con el nombre de ADMIN.DLL en unidades locales C:, D: y E:, y en directorios de windows con el nombre LOAD.EXE, MMC.EXE, RICHED20.EXE, sobreescribiendo los originales. Cabe indicar que según sistema operativo, existen originalmente los ficheros RICHED20.DLL y MMC.EXE , que deberán ser recuperados de otra máquina no infectada o del CDROM original. Crea además ficheros con extensiones .TMP y .TMP.EXE
Asimismo conviene restaurar los datos modificados por el virus dentro de System.ini, en el cual en la línea de [BOOT] Shell=Explorer.exe, ha añadido "load.exe -dontrunold" que debe borrarse tras eliminar el virus.
En una red de ordenadores crea miles de ficheros *.EML y cientos de *.NWS con nombres aleatorios, los cuales contienen el e-mail infectado, que se abriría con el Outlook si se pinchara en ellos, por ello deben borrarse.
Para eliminar el virus debe actualizarse a versión DAT-4161 (y engine mínimo 4.0.70) y desconectar los ordenadores de la red, modificar el SYSTEM.INI dejando la línea del Shell=Explorer.exe sin ningún añadido, como ya hemos indicado anteriormente, y, tras reiniciar el ordenador, si es posible desde MSDOS. ejecutando el LIMPIA.EXE, borrar todos los ficheros infectados, pues en su totalidad son código vírico, o bien con el SCANPM /ADL /CLEAN, y no conectar los ordenadores limpios a la red antes de haber limpiado toda la red. Tras ello recordar restaurar los ficheros MMC.EXE y RICHED20.DLL, según sistema operativo. Con todos los ordenadores limpios ya pueden volver a conectarse en red y aplicar los parches de Microsoft indicados.
**************
Última hora: en la web está disponible el paquete NIMDASCN.ZIP (utilidad NimdaScn.exe v1.0f) que contiene el Testeador/Eliminador/Corrector para este virus. Recomendamos su descarga, en dicho zip se encuentra un fichero LEERME.EXE con la documentación de su uso.
VIRUSCAN SPAIN
SERVICE 19-9-2001