



                     -+-| DisidentS Hack Journal #3 |-+-









  ______________________________________________________________________
 |                                                                      |
 | -+- Titulo_____: NIMDA [027.txt]                                     |
 | -+- Autor______: {FEAR} & damicita                                   |
 | -+- E-Mail_____: <The_new_Dark@hotmail.com> <damicita@hotmail.com >  |
 | -+- Team_______: DisidentS - http://www.disidents.int-ltd.com        |
 | -+- KB_________: 18.4                                                |
 | -+- Tema_______: virii - desinfeccion                                |
 |______________________________________________________________________|





             **********************************************
             **                                          **
             **                 NIMDA                    **
             **        -.-.-.-.-.-.-.-.-.-.-.-           **
             **                 _________________________**
             **                 | by: {FEAR} & damicita  **
             *********************************************



.==========================================================================.
|===========~ INDICE ~======================================================
|===========================================================================
|=~ [1.a]   Ficha Tecnica                                                  |
|=~ [1.b]   Un poco de historia                                            |
|=~ [1.c]   Informacion general de como trabaja NIMDA                      |
|=~ [1.c.1] Donde se instala nuestro amigo                                 |
|=~ [1.c.2] Como infecta EXE`s                                             |
|=~ [1.c.3] Como se propaga                                                |
|=~ [1.d]   Desinfeccion                                                   |
|=~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~=.
======================================================~ INDICE ~============
============================================================================









.==========================================================================.
|===========~ [1.a] Ficha Tecnica ~=========================================
|===========================================================================




         |@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@|
         |###########* FICHA TECNICA *###########|
         |@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@|
         |                                       |
         | Nombre:  W32/Nimda                    |
         |                                       |
         | Alias: I-Worm.Nimda                   |
         |                                       |
         | Variantes: Ninguna                    |
         |                                       |
         | Fecha de Origem: 18/09/2001           |
         |                                       |
         | Tipo:  WORM                           |
         |                                       |
         | Gravedad:  Alta                       |
         |                                       |
         | Origen:  China                        |
         |                                       |
         | Propagacion: E-Mail                   |
         |                                       |
         | Sis Vulnerables: M$Win 95/98/Me/NT/2k |
         |                                       |
         |@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@|








.==========================================================================.
|===========~ [1.b] Un poco de historia ~===================================
|===========================================================================


"El fiscal general estadounidense anuncia la aparicin de un nuevo virus in-
formtico".

Desde el pasado lunes,un nuevo virus informtico se pasea por la Red.Se lla-
ma Nimda,  y segn el fiscal general estadounidense John Aschroft, puede ser
ms destructivo que el Cdigo Rojo, que afect a miles de ordenadores duran-
te el verano.

Pese a los temores iniciales, Ashcroft ha asegurado que no hay ninguna prue-
ba que permita relacionar este ataque  informtico  con los atentados contra
Estados Unidos del pasado martes.

" Puede que este virus est activo desde ayer lunes,  y que haya contaminado
numerosos ordenadores a travs del mundo", ha declarado el fiscal general de
EEUU, quien ha explicado que Nimda podra ser el anagrama del comienzo de la
palabra "admin-istracin".




                   ~ EL PAIS - Martes, 18 de septiembre de 2001 ~


* Esto era lo que leia en el periodico ese dia cuando me levante y me dirigi
a desayunar, me quede sorprendido por lo de  " puede ser mas destructivo que
el Red Code (codigo rojo).
Pues bueno,   una buena noche hablando con una amiga decidimos indagar en el
tema y escribir este articulo que esperemos que os sea de utilidad.

Empiezo diciendo que este virus se propaga con rapidez,y ha infectado muchas
maquinas desde su aparicion. Este virus, catalogado como gusano (worm) y cu-
yo nombre al revs sera "admin" (por administrador o eso creo :) ),  apare-
ci el martes en USA,  salt en la noche a Asia e infect el mircoles a los
sistemas de computacin de miles de empresas europeas.
Despues de esto se temio por el peligro de un aumento de la actividad de vi-
rus despus de los ataques del pasado 11 de Septiembre al W.T.C. y al Pent-
gono, pero el procurador general de Estados Unidos, John Ashcroft,  dijo que
no haba rastros de un vnculo entre ambos sucesos (pues menos mal porque si
no  se iba a montar algo aun mas gordo, la guerra virtual )  bueno aparte de
mis paranoias mentales que le interesaran a poca gente,  bueno vamos al meo-
llo.

Se trata de un gusano (worm) similar al virus Code.Red y Code.Blue.Es un vi-
rus tipo "mass mailer"(enva archivos infectados a todos los contactos de la
libreta de direcciones).

El  Nimda usa tcnicas estndares de distribucin de  e-mail para ampliar la
lista de los posibles huspedes que  van a ser victimas de ataques en vez de
solamente atacar servidores Web con vulnerabilidades.El virus Nimda est di-
seado para propagarse va e-mail.  El e-mail aparece como si viniera de una
fuente confiable.  El virus Nimda asegura una gran propagacin local una vez
el sistema es infectado. ste reemplaza los archivos .dll, .eml, .nws en to-
dos los drives compartidos. Adems se aade a todos los archivos .htm, .html
, .asp en el sistema infectado.  Esto  le permite al virus  extenderse a los
usuarios remotos cuando  ellos tratan de acceder las pginas web en los ser-
vidores infectados.

Una vez una maquina es infectada con el virus Nimda,el gusano toma pasos pa-
ra estar como backdoor  en el sistema  infectado ( osea "puerta de atras" ),
creando cuentas que le podrn dar acceso a atacantes remotos.El virus Nimda
creara una cuenta "guest" (visitante),si esta no existe o la activara si es-
ta ha sido deshabilitada. Este virus tambin adicionar el usuario "guest" a
los grupos de administradores o Guest del sistema.

El virus Nimda tambin abre "C:" para compartirlo va Internet, dando acceso
completo a la unidad C: del computador infectado.  Los atacantes desde cual-
quier punto de  Internet pueden  tener acceso a este dispositivo  compartido
con derechos completos de escritura/lectura.

El W32/Nimda@MM infecta sistemas en diferentes sentidos. El mtodo principal
de  infeccin es a travs de  e-mails ejecutando un archivo  adjunto llamado
Read_me.exe o Read_me.eml.Tambin se expande a travs de Network Shares. Una
vez que es ejecutado este archivo,  el virus proceder a infectar su mquina.
Este gusano tambin enva mensajes a servidores de Microsoft IIS desprotegi-
dos, de manera similar al virus RedCode y BlueCode.



.==========================================================================.
|===========~ [1.c.1] Donde se instala nuestro amigo ~======================
|===========================================================================


El  proceso de instalacin difiere  un poco si la infeccin se realiza desde
el programa EXE recibido por correo electrnico,o si la infeccin se realiza
sobre un servidor Web usando el Microsoft Internet Information Server(M$ IIS)

Para este ltimo caso, la informacin est mas adelante en este documento.

En los otros casos (la mayora), cuando el fichero infectado es ejecutado,el
virus se copia a s mismo en los siguiente directorios:

     \WINDOWS\SYSTEM con el nombre LOAD.EXE
     \WINDOWS\SYSTEM con el nombre RICHED20.DLL
Este ltimo (RICHED20.DLL) es un archivo de Windows.  El archivo original se
pierde, con lo que para recuperarlo hay que copiarlo desde el CDRom original
(o no xDDD) de Windows.

Tambin crea diversas copias de s mismo en el directorio temporal de Windows
con nombres aleatorios con el patrn MEP*.TMP y MEP*.TMP.EXE, por ejemplo:

 mep01A2.TMP
 mep1A0.TMP.exe
 mepE002.TMP.exe
 mepE003.TMP.exe
 mepE004.TMP

Los archivos EXE ( y tambin el LOAD.EXE ) tienen atributos de  Ocultos y de
Sistema,  lo que hace que no puedan ser vistos  dependiendo de la configura-
cin de Windows.

El gusano tambin modifica el  fichero de inicio SYSTEM.INI ,  del siguiente
modo:

 [boot]
 shell=explorer.exe load.exe -dontrunold

De esa forma se asegura que ser ejecutado cada vez que se reinicie el orde-
nador.

Para desinfectar completamente el ordenador es necesario modificar dicha l-
nea y dejarla asi:

 [boot]
 shell=explorer.exe


.==========================================================================.
|===========~ [1.c.2] Como infecta EXE`s ~==================================
|===========================================================================


El gusano  mira los programa ejecutables (EXE) que encuentra en la clave del
registro:

          HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths

buscando archivos EXE en carpetas compartidas a travs de la red local,y los
infecta (excepto Winzip32.exe, y no se porke :P).  En algunos casos esta ru-
tina no se activa y como consecuencia, no infectar el ordenador.

Para infectar, el gusano reemplaza el fichero "vctima"  con una copia de s
mismo, y despus coloca el archivo original en su propio interior.

Cuando un archivo de estos es ejecutado, el gusano ejecuta las tareas de in-
feccin y reproduccin, y finalmente, ejecuta el programa original.






.==========================================================================.
|===========~ [1.c.3] Como se propaga ~=====================================
|===========================================================================


- A traves del E-mail

Para recolectar direcciones de correo electrnico a infectar, el virus busca
archivos *.HTM y *.HTML (pginas web) en el disco duro buscando direcciones,
y adems, utilizando el MAPI de Windows accede al cliente de correo y utili-
za las direcciones que encuentra.

Los mensajes infectados que enva son en formato HTML y  tienen la siguiente
estructura:

                         Asunto: aleatorio o en blanco

                                Cuerpo: vaco

                         Fichero adjunto: README.EXE

  El "Asunto" depender de un nombre de archivo aleatorio  de documentos que
encuentre en la carpeta "Mis Documentos",  o tambin  de cualquier documento
del disco duro C:

Para  introducirse en el  ordenador el virus  utiliza una  vulnerabilidad de
Windows muy conocida (desde el 29/03/2001) que permite que el fichero adjun-
to de un determinado mensaje se ejecute automticamente al leer el mensaje.

( Existe un parche para dicha vulnerabilidad  que puede ser descargado desde
la siguiente pgina web:    ( http://www.microsoft.com/windows/ie/downloads/
critical/q290108/default.asp )

- A travs de la red local.

El gusano  infecta ordenadores  remotos a travs de la red local  de las si-
guientes dos formas:

1) Crea archivos .EML (en el 95% de los casos)  o archivos *.NWS (en el res-
tante 5%) con nombres aleatorios.  Como resultado,  esos archivos  EML y NWS
estan por todas partes en los ordenadores infectados.  Puede llegar a  haber
miles de ellos tanto en el ordenador  infectado como  en la red local.  Esos
archivos contienen copias del virus en formato de correo electrnico, es de-
cir, solo pueden infectar si son abiertos por un programa de correo. Las ex-
tensiones EML y NWS se asocian habitualmente a  programas de correo electr-
nico como  el Outlook o el The Bat,  por tanto,  haciendo  doble click sobre
ellos se abrir el programa de correo electrnico y comenzar la infeccin.
Al crear dichos archivos en todo el disco, incluido el escritorio,  aparece-
rn nuevos iconos  que algunos usuarios califican como  "sobrecitos"  ya que
aparecen con el icono de un sobre, hacindose pasar por mensajes de correo.

2) El gusano busca pginas web usando determinadas combinaciones
   nombre.extensin:

*DEFAULT* , *INDEX* , *MAIN* , *README* + .HTML, .HTM, .ASP

Por ejemplo:

default.html
default.htm
index.asp
readme.asp
readme.htm
etc...

En caso de que se encuentre un archivo con ese nombre,  el gusano se copia a
s mismo usando el formato de  correo electrnico con el nombre README.EML y
aade al "archivo vctima"  un pequeo programa  en javascript  que lo nico
que hace  es abrir el archivo README.EML  cada vez que se abre dicho archivo
infectado.

Como  resultado el virus afecta a pginas web, por lo que puede introducirse
en ordenadores que visiten dicha web.



- Infeccin de un servidor web.

Para infectar  un servidor Web el virus utiliza  una vulnerabilidad conocida
como "Web Directory Traversal exploit", activa un servidor TFTP en la mqui-
na infectada  (la mquina actual) para ejecutar el comando  "get data" en la
mquina vctima (servidor web remoto).Este mtodo es el mismo que utiliza el
conocido gusano RedCode (Cdigo Rojo).

El  nombre del archivo que se  enva al servidor web es  ADMIN.DLL ( por eso
NIMDA que es admin alreves creo yo) y una vez enviado, el archivo es activa-
do. Entonces, el virus crea un programa con el nombre MMC.EXE, lo ejecuta, y
continua el proceso de infeccin tal y como se describe al principio de este
documento.

Una vez infectado el servidor Web, el virus comienza una bsqueda exhaustiva
de otros servidores, seleccionando direcciones  IP aleatorias intentando en-
contrar otros ordenadores con el Internet Information Server instalado.

Cualquier usuario que visite una web infectada,  puede  acabar  infectado l
mismo.




.==========================================================================.
|===========~ [1.d] Desinfeccion de Nimda del ordenador de forma manual ~===
|===========================================================================

Hay que seguir  los siguientes pasos para desinfectar correctamente el virus
Nimda de forma manual.

1) La forma que tiene el gusano para transmitirse a travs de la red y en la
propia mquina infectada,  es creando ficheros *.EML y *.NWS. Vamos a proce-
der a eliminar todos estos ficheros que se han creado en nuestro ordenador.
Para localizar todos estos ficheros, hay que ir a  "Inicio->Buscar->Archivos
o Carpetas". La bsqueda ha de realizarse por todo el disco duro. En el cam-
po "nombre" introduzca: *.EML y pulse intro. En la parte inferior le saldrn
todos los archivos encontrados.
Seleccinelos todos y elimnelos. Siga los mismo pasos para eliminar los fi-
cheros *NWS.  La nica diferencia est que ahora en el campo  "nombre" tiene
que poner *.NWS.


2) El gusano modifica el fichero de inicio SYSTEM.INI, asi:

                                  [boot]
                  shell=explorer.exe load.exe -dontrunold


De esa forma ser ejecutado cada vez que se reinicie el ordenador y por  ese
 motivo, al estar siendo utilizado por el sistema, no se podra borrar.

Para desinfectar completamente el ordenador es necesario modificar dicha l-
nea y dejarla asi:

                                  [boot]
                             shell=explorer.exe


Para modificar la lnea,  abra el Bloc de Notas y desde all abra el archivo

C:\WINDOWS\SYSTEM.INI


3) Reinicie el ordenador


4) Instale un antivirus,  una vez configurado el Antivirus,  haga un scaneo.
Cada vez  que el antivirus detecte un archivo infectado  que no pueda desin-
fectar y le pregunte si desea usted borrarlo, responda afirmativamente.

Solo tres archivos .EXE pueden ser borrados sin problemas,  que son LOAD.EXE
y MMC.EXE (en caso de existir) y README.EXE (en caso de existir).

ATENCION!!!!  No borres ningn otro archivo .EXE infectado por el virus.
 Podra causar daos irreparables en el sistema.


5) Slo hay un fichero .DLL que debe ser borrado.  El RICHED20.DLL que es un
archivo de Windows,  y que est en el directorio \WINDOWS\SYSTEM . El archi-
vo original se pierde  con lo que para recuperarlo hay que copiarlo desde el
CDRom original (o no xD) de Windows o desde otro ordenador con el mismo sis-
tema operativo.

Windows 98 y Windows Millenium incluyen herramientas propias para  recuperar
los archivos borrados. Para esto,ser necesario disponer del CDRom de insta-
lacin de Windows 98 o Millenium.

Recuperar RICHED20.DLL - Windows 98

- Men "Inicio -> Ejecutar -> escriba SFC" y pulse Intro

- Marque "Extraer un archivo del disco de instalacin"

- En la ventana "Especifique el archivo del sistema que desea restaurar",es-
  cribe "RICHED20.DLL"

- Haz click en "Iniciar".

- En "Restaurar de" escribe el camino completo a los archivos de instalacin
  de Windows.

- En "Guardar archivo en" asegrate de introducir C:\WINDOWS\SYSTEM

- Haz click en"Aceptar".

- Confirma  la carpeta  para copias de  seguridad y haz click nuevamente  en
  "Aceptar".


Recuperar RICHED20.DLL - Windows Millenium

- Men "Inicio -> Ejecutar -> escriba MSCONFIG" y pulse Intro.

- Haz click en el botn "Extraer archivo"

- En " Especifique el nombre del archivo que desea restaurar " escriba:
   RICHED20.DLL

- Haz click en "Iniciar".

- En "Restaurar de" escribe el camino completo a los archivos de instalacin
  de Windows.

- En "Guardar archivo en" asegrate de introducir C:\WINDOWS\SYSTEM

- Haz click en "Aceptar".

- Confirma  la carpeta  para  copias de seguridad y haz click  nuevamente en
  "Aceptar".











                                                        by {FEAR} & damicita


