Nimda.D

Nimda.L@mm, virus destructivo infecta y trunca archivos .EXE y .DOC de Redes compartidas, etc.

Nimda-L

Nimda.L es un sofisticado y destructivo virus binario, originario de la China, infector de archivos ejecutables reportado el 16 de Junio del 2003, que a diferencia de sus predecesores Nimda.B, Nimda.C o Nimda.D, por ejemplo, no se propaga masivamente por correo ni aprovecha ninguna vulnerabilidad de sus previas variantes. Ingresa por diversos servicios de Internet tales como:

Páginas web infectadas que descargan el archivo principal o "dropper".
Redes LAN con recursos compartidos.

Aunque nada impediría que se propagara por otros servicios.

El virus se propaga simultáneamente con 2 archivos de nombres _setup.exe y riched20.dll, los cuales facilitan su difusión cuando existen archivos con extensión .DOC en las redes con recursos compartidos.

Infecta todos los archivos con extensión .EXE que encuentre en las llaves de registro o en las unidades de red con recursos compartidos, al insertar su código viral en la cabecera de los mismos y a los cuales agrega al final su archivo infectado con extensión .DLL

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en lenguaje binario y Visual C++, varía de extensión, no se encuentra comprimido y tiene los siguientes componentes:

El virus en sí: _setup.exe

El archivo riched20.dll: que contiene el código que activa el _setup.exe.

Al ejecutarse el virus en el disco, se instala en la memoria y libera su archivo infector anfitrión en el directorio en uso, alternado el nombre del archivo infectado pero con la extensión [espacio].EXE, por ejemplo EXPLORER.EXE será re-nombrado como EXPLORER .EXE, con los atributos de Archivo, Sistema y Oculto e inmediatamente activa al virus infector.

En cambio, si el virus se ejecuta en rutas de Red o carpetas temporales y no en discos fijos, entonces libera el archivo anfitrión en la carpeta Temporal de Windows con el nombre mep????.tmp.exe, que también tiene los atributos de Archivo, Sistema y Oculto.

El valor ???? representa cualquier número decimal de 4 caracteres. Ejemplo: mep4C74.tmp.exe.

Al ser ejecutado el archivo anfitrión, el virus se auto-elimina después de que el sistema es re-iniciado. En Windows NT/2000, el virus emplea el API MoveFileEx para agregar esta llave en el registro:

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager]
"PendingFileRenameOperations" = "\??\[ruta_completa_de_ubicación_del_virus]"

Para activarse en Windows 95/98 el virus genera el archivo WININIT.INI en el directorio %Windir% con las siguientes cadenas:

[archivo_infectado_renombrado]
"Nul" = "[ruta_completa_de_ubicación_del_virus]"

Una vez activado el virus infecta los archivos ejecutables ubicados en esta llave de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths]

La mayoría de ellos se ubican por lo general en el directorio %Windir% o en la carpeta Archivos de programa.

En el proceso de infección el virus inserta su código viral en la cabecera del archivo y el riched20.dll al final del mismo y para conservar los iconos originales en el Escritorio de Windows, el virus previamente extrae el icono del archivo infectado.

El virus usa el marcador 6Fh ubicado en la posición CFh de la cabecera del archivo, para evitar volver a infectar.

En Redes locales, infecta todos los archivos con extensión .EXE de las carpetas con recursos compartidos y para hacerlo eficientemente, enumera estos recursos, seleccionando aquellos que son recursos propios del disco.

Luego busca en las carpetas y sub-carpetas los archivos con extensiones .EXE y .DOC y si encuentra un .EXE, lo infecta de la manera antes descrita. En el caso de hallar un archivo .DOC, el virus extrae de su código el archivo riched20.dll y lo graba en la carpeta compartida con ese mismo nombre .DLL.

Este virus aprovecha la vulnerabilidad del Microsoft Windows DLL Search Path, la cual permite que cuando un archivo con extensión .DLL es invocado por MS Word, este es colocado en el directorio en uso, en lugar del directorio de instalación por defecto de los archivos .DLL, y este caso en particular logra infectar toda la red.

En Windows NT/Me/2000, el virus genera una cuenta "Guest" (invitado) sin ninguna Clave de Acceso y agrega la misma al grupo de Administradores e "invitados". Esta cuenta que con posee un Password, obtiene privilegios de Administrador, comprometiendo la seguridad del sistema infectado.

Para lograr una mayor vulnerabilidad en los sistemas infectados, el virus comparte todas las unidades de Red locales, convirtiendo la unidad C en C$ hasta la última letra de unidad de los discos. Para este efecto emplea el comando "net share" en Windows NT, pero en Windows 95/98 crea su propia llave de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Network\LanMan\%x$%]

El valor %x$% representa a las unidades de la C: a la Z:

Asimismo, el virus el virus cambia el atributo de las carpetas compartidas infectadas con el atributo de acceso a lectura-escritura y borra sus Claves de Acceso, al modificar esta llave de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Network\LanMan\[carpeta_compartida]]
"Flags" = "192h"
"Parm1enc" = "0"
"Parm2enc" = "0"

Infecta todos los archivos .EXE que encuentre en las carpetas compartidas existentes.

Del mismo modo en Windows NT/Me/2000, el virus crea un hilo remoto en el Internet Explorer, al cual contiene el código viral de esta especie y a causa de ello no se podrá eliminar el virus de la memoria, a menos que el Internet Explorer sea re-iniciado.

Finalmente, con el objeto de prevenir múltiples infecciones de sí mismo en la memoria, el virus crea los siguientes Mutex:

kkklgyfguMyppp
kkklgyfguMyppp2

En Windows 95/98, el virus se oculta a sí mismo del comando CTRL-ALT-DEL, al auto-registrarse como un proceso de servicio.

Sus payloads son los siguientes:

Infecta los sistemas en forma directamente con 2 archivos y se instala en la memoria.

También se puede propagar a través de otros servicios de Internet, excepto del envío de correo.

Se propaga e infecta a través de Redes Locales con recursos compartidos y estaciones remotas.

Infecta y renombra los archivos con extensión .EXE y .DOC tanto en la cabecera como en la cola de los mismos, agregándoles un espacio a los archivos .EXE antes de su extensión.

Trunca los archivos infectados.

Genera una cuenta "Guest" con privilegios de Administrador y sin Password, comprometiendo la seguridad del sistema.

Cambia los atributos de la unidades de disco de C: a C$ desde la C: a la Z:

También cambia el atributo de las carpetas compartidas con el atributo de acceso a lectura-escritura y borra sus Claves de Acceso.

Trunca los sistemas operativos infectados, siendo necesario desinfectarlos y re-instalar el sistema y los programas que tengan archivos con extensión .EXE

PER ANTIVIRUS® versión 8.1 actualizado al 16 de Junio del 2003, detecta y elimina eficientemente este virus.