Después de un largo periodo en que no apareció ninguna amenaza importante, aparece un nuevo virus que según una compañía de seguridad fue liberado hoy (Martes, 18 de Septiembre de 2001), exactamente a la misma hora del ataque terrorista contra el WTC, hace una semana.

Coincidencia o no, este nuevo virus y gusano ha tomado lo mejor (o lo peor) de los principales virus, como hybris, magister y red Code, además de llevar a la practica conceptos como crear paginas de Internet capaces de infectar con virus.

Este virus clasificado como W32.Nimda.A@mm, puede llegar en un correo, pero esta ves el archivo es invisible, y se activa cuando el usuario pica el nombre del correo al tratar de abrirlo y como muchos otros virus, al infectar envía correos a toda la libreta de direcciones. Sin embargo también busca e infecta servidores de Internet, basados en el IIS de Microsoft, aprovechando "otra" falla de seguridad. Con esto penetra al sistema y modifica las paginas del servidor para crear paginas de Internet, que la visitarlas piden al usuario que baje un archivo, que es precisamente el virus. Y por si fuera poco, además modifica los permisos de los discos duros, para que se compartan desde la red y puedan ser accesados desde Internet por cualquier persona.

En el momento de escribir esto, Symantec aun no libera una forma de remover el virus, pro lo que la mejor defensa es la prevención. Sin embargo ya esta clasificado como virus de alto riesgo. EL gusano no causa ningún daño directo, pero baja el rendimiento de las maquinas y las deja desprotegidas pues deja abierto todo su contenido a la red.

1. Actualicen sus definiciones de antivirus. Pidan a su antivirus que se conecte a Internet y se actualice.

2. Desinstale el Windows Scripting Host. Esta es una "mejora" que se le hizo a Windows 98, pero que hasta ahora solo los autores de virus han usado. Sin no sabe que es, lo mejor es desinstalarlo. Vaya a "Panel de Control ", pique el icono de "instalar y desinstalar programas". Al abrir la ventana del programa, seleccione la pestaña de "instalación de Windows". Ahora en la ventana, busque "accesorios", que probablemente tenga una palomita, selecciónelo y abajo pique donde el botón que dice "detalles". Ahora con la barra de desplazamiento busque donde dice "Windows Scripting Host" y quite la palomita que tiene. Pique ahora el botón de aceptar, y luego el botón de aplicar. Windows procederá a desinstalarlo. Cuando termine oprima el botón de aceptar. Esto lo protegerá ve muchos de los virus actuales.

3. En lo que logra actualizar su antivirus, no pique ningún archivo adjunto que no conozca, y trate cualquier correo no solicitado como sospechoso. Además si una pagina de Internet le solicita bajar un archivo que usted no ha solicitado, cancele la acción.

4. Si su maquina esta en red, y tiene compartido el disco C:/ debe protegerlo con password. Esto es muy importante pues todas las maquina en una red pueden infectarse.

Javier Delgado

1. W32.Nimda.A@mm

        W32.Nimda.A@mm
        nombre: W32.Nimda.A@mm
        descubierto : Septiembre 18, 2001
        Tipo: Gusano
        Tamaño : 57344
        Nombre del archivo: readme.exe 
       (nota: este archivo no es visible desde el correo)
        daño: degrada el funcionamiento de la computadora,
  es un riesgo de seguridad, pues deja expuestos las carpetas 
  compartidas de la computadora. Infecta los servidores de internet 
  de microsoft y modifica las paginas. 
  Modifica archivos del sistema, con una copia del gusano.
         

Resumen:

Este es un nuevo gusano que utiliza la tecnica de envios masivos de correo , pero ademas utiliza otros metodos. El gusano, desde una maqina infectada, se envia a si mismo por correo. Busca carpetas compartidas en la red y trata de infectar servidores de internet, Microsoft IIS que no esten parchados. El gusano utiliza para esto lo que se conoce como la falla de "Unicode Web Traversal". Si tiene un servidor de internet de microsoft, el parche se encuentra en:

http://www.microsoft.com/technet/security/bulletin/ms00-078.asp

Los usuarios que visiten un servidor de paginas web que este infectado, veran que el sistema presenta una solicitud de bajar un archivo de correo .eml (de Outlook express), que contiene el gusano.

Finalmente el gusano abrira las carpetas compartidas, a fin de que cualquiera pueda tener acceso a ellas

Al infectar una maquina, reemplaza el archivo Riched20.dll (que es un archivo estándar de windows) con una copia de si mismo. Modifica el archivo System.ini con la linea:

Shell = explorer.exe load.exe -dontrunold

Despues se copia a windows/system/load.exe

Tambien se copia al folder temporal de windows con el nombre Mep*.tmp.exe.

Despues utiliza llamadas MAPI (es decir afecta a Microsoft Outlook and Outlook Express)para leer el correo entrante para buscar direcciones nuevas de correo. Despues utiliza su propio codigo para enviarse como un correo sin ningun contenido y con un nombre al azar. EL archivo readme.exe , que es el virus, parece un archivo de audio WAV.

Ademas el gusano trata de localiza servidores IIS que tengan el parche contra la falla de Unicode Web Traversal (que es una falla conocida desde hace tiempo). AL hacer esto, se copia como Admin.dll. Despues el gusano ejecuta este archivo de manera remota con lo que infecta al servidor.

Una ves infectado el servidor, busca archivo html. Htm y asp para modificarlos, de manera que le inserte una copia MIME (correo de internet) del virus

Ademas busca carpetas compartidas en la red, copiandose directamente a estas maquinas.

Finalmente sobreescribe algunos archivos del sistema como Mmc.exe.

Eliminación:

EL virus no infecta archivos, sino que los substituye con una copia de si mismo. El proceso de eliminacion consiste en localizar los archivos que se han substituido, borrarlos y restaurarlos. Esto probablemente requiera la reinstalacion de window. Espero poder mas detalles en cuanto se investigue mas al virus.

 

 

registro que genero el gusano.