Por el momento, el correo de
elsalvador.com, gratuito para los lectores de la
edición electrónica de El Diario de Hoy,
está teniendo fallas intermitentes debido al
congestionamiento de tráfico creado por el
esparcimiento de este virus.
Gracias por su
comprensión
Atentamente,
El
Equipo Web de elsalvador.com
Alerta de Virus
NIMDA
La empresa de Software McAfee y
otras dedicadas a la seguridad electrónica
alertaron este miércoles sobre un nuevo virus
difundido a nivel mundial y que afecta a los sistemas que
operan con Windows en todas sus versiones y los
servidores web de Microsoft: Internet Information Server
(IIS).
Este virus, que se podría
describir como la combinación del virus
Código Rojo y el Sircam, que son los que
más daño han causado en Internet, ha
comenzado a propagarse y ha afectar a miles de servidores
en todo el mundo.
El virus es sumamente peligroso y
sensible porque ya no es necesario abrir el correo para
que este se ejecute, basta con pre visualizarlo para que
de inmediato se auto ejecute sin el conocimiento del
usuario. El NIMDA afecta los sitios web y se propaga
automáticamente al visitar o visualizar los sitios
infectados sin necesidad de hacer clic en ningún
enlace. Además, afecta los programas de correo y
servidores web de Microsoft y ha causado un
congestionamiento en la red, que en muchos casos impide
el acceso a los servidores al atascar ciertas rutas.
NIMDA es también altamente
contagioso, ya que aprovecha las vulnerabilidades del
correo y del navegador, además que se abre paso de
forma automática dentro de las redes internas al
crear discos duros compartidos en las computadoras y
tranfiriéndose entre las mismas.
McAfee recomienda a los usuarios
finales y a los administradores de sitios actualizar con
los parches que ya están disponibles en las
diferentes páginas de los sitios antivirus y de la
Corporación Microsoft.
Este nuevo ataque
cibernético es solo una muestra más de que
la red se vuelve cada vez mas insegura y obliga a todos
lo internatuas a estar atentos a las alertas y obliga a
tomar más en serio la navegación en
Internet, especialmente los usuarios de productos
Microsoft.
Especificaciones del
Virus
Traducción libre por
Margarita Funes tomada del sitio
http://www.mcafee.com
Nombre: w32/Nimda@MM
Riesgo: Alto
Fecha de descubrimiento: 18 de septiembre 2001
Origen: desconocido
Tamaño: 57344
Tipo: virus
Subtipo: gusano de internet
Características del
virus:
Esta amenaza puede afectar todos
los usuarios no protegidos de windows
9x/NT/2000/Me.
Su principal objetivo es propagarse
en Internet infectando tantos usuarios como sea posible,
creando tanto tráfico que las redes no puedan
utilizarse.
Todos los administradores que
están usando el Internet Explorer 5.01 o 5.5, sin
SP2, deben instalar el parche para corregir la
vulnerabilidad de los archivos adjuntos en el Explorer.
Todos los usuarios de IIS que no lo han hecho
todavía deben instalar el parche.
Este es un gusano de correo masivo
que también se propaga vía redes
compartidas y utiliza la puerta trasera creada por el
virus código azul.
También intenta crear redes
compartidas y utiliza la puerta trasera creada por el
gusano Código Rojo.
El asunto del e-mail varía,
el texto del cuerpo está en blanco y los archivos
adjuntos varían y puede utilizar el icono del
documentos html del Explorer.
Los métodos de
propagación mas comunes son los que
siguen:
Los mensajes de correo creados por
el gusano especifican un tipo de contenido de audio/x-wav
y contiene un tipo de archivo adjunto ejecutable.
Entonces cuando un mensaje es accesado el archivo adjunto
es ejecutado sin el consentimiento del usuario.
simplemente viendo la página en Microsoft Outlook
o Microsoft Outlook Express puede infectarlo.
Cuando se produce una
infección se adhiere a los documentos .asp, .htm.
html y los archivos nombrados index, main y default, con
código Javascript, contienen instrucciones de
abrir una nueva ventana de browser que ya contiene el
mensaje de e-mail infectado (esto tomado del archivo
readme.eml). Así cuando la página web
infectada se accesa local o remotamente la máquina
que está viendo la página es infectada. En
otras palabras con simplemente visitar un sitio web que
está infectado puede infectar su
computadora
Cuando se infecta crea una red
compartida para cada disco duro local, como #$ (en donde
el # significa la letra que indica el nombre del disco
que está siendo compartido). En el sistema windows
9x/ME esto es configurado como un compartir total sin
password, en el sistema windows Nt/2000 al usuario GUEST
se le da el permiso de compartir y es agregado al grupo
de administradores así como al de invitados
(GUESTS), se requiere reiniciar las computadora para que
estas comparticiones sean creadas. En la otra forma el
gusano escanea direcciones IP buscando servidores IIS que
infectar a través de la vulnerabilidad del "Web
Folder Transversal" enviando una petición GET
malformada. Esto causa que las máquinas
vulnerables inicien una sesión TFTP para descargar
admin.dll de la máquina que envió la
petición una vez que ha sido descargado el archivo
el sistema remoto está instruido para ejecutar el
dll que infecta la máquina. En el caso que la
sesión TFTP falle para conectarse, archivos
múltiples TFTP son creados en el directorio
Windows Temp, estos archivos son simplemente copias del
gusano. También trata de usar la puerta creada por
el Código Rojo para infectar.
También las direcciones
electrónicas son tomadas extrayéndolas de
los mensajes MAPI en Microsoft Outlook y Microsoft
Outlook Express así como de documentos html y htm.
Entonces el gusano se envía a sí mismo a
estas direcciones ya sea sin un tema o asunto
específico o un tema que contiene un registro
parcial de una ruta clave.
Una vez infectado, su sistema es
usado para buscar a otros qué infectar a
través de la web, esto crea un gran escaneo de
puertos de entrada lo que puede causar congestionamiento
de trafico en las redes. Se puede copiar a sí
mismo al directorio windows system, como un archivo
log.exe y crear una entrada de system.ini para cargarse a
sí mismo al inicio de la computadora:
shell=explorer.exe log.exe - dontrunold.
El gusano guarda una copia de
sí mismo en los discos C, D y E como admin.dll.
Nombres de archivo del gusano incluyen admin.dll,
log.exe, mmc.exe, readme.exe, riched20.dll,
mep*.tmp.exe.
Nota: Aplicaciones que utilizan el
formato Texto Enriquecido como Microsoft Word o Wordpad
llaman este archivo riched20.dll y el gusano es ejecutado
cuando un programa dependiente se corre.
Normalmente hay un archivo
riched20.dll en Windows System, pero este es sobreescrito
por el virus.
Nota: MMc.exe es el nombre para la
aplicación "Microsoft Management Console" se ha
reportado que el gusano puede sobreescribir este
archivo.
Síntomas
Presencia de los archivos
C:\admin.dll, D:\admin.dll y E:\admin..dll
Presencia del archivo readme.eml.
Se crean redes compartidas sorpresivamente.
Método de
infección:
Esta amenaza ataca variadas
vulnerabilidades de Microsoft y se contrae vía
navegación leer un mensaje electrónico o
simplemente por correr el servidor IIS.
Instrucciones para
removerlo
Los sistemas infectados deben
aplicar los parches
Para Ie5
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-020.asp
Para IIS 4 y 5
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-044.asp
y cerrar cualquier red compartida
antes de que la limpieza o reinfección
ocurra.
A todos los administradores y
usuarios finales que utilizan Microsoft Internet Explorer
(ver 5.01 o 5.5) sin SP2 se les aconseja instalar el
parche para el titular MIME incorrecto que es vulnerable
a los archivos adjuntos.
Todos los administradores IIS que
no lo han hecho deben instalar este parche de
Microsoft.
La remoción manual no es una
opción para esta amenaza porque infecta archivos
.exe que no pueden ser fácilmente corregidos
manualmente.
Sitios para descargas de vacunas y
amplición de información sobre el
virus:
Symantec:
www.securityresponse.symantec.com/avcenter/download.html.
McAfee:
http://vil.nai.com/vil/virussummary.asp?virus_k=99209
Ibrujula:
www.ibrujula.com
Copyright 1995 - 2001. El
Diario de Hoy
Derechos Reservados. Prohibida su reproducción
total o
parcial sin autorización escrita de su
titular.
www.elsalvador.com