W32.Nimda.A@mm

Página de impresión

Detectado: September 18, 2001
Actualizado: February 13, 2007 11:38:03 AM
También conocido como: W32/Nimda@MM [McAfee], PE_NIMDA.A [Trend], I-Worm.Nimda [Kaspersky], W32/Nimda-A [Sophos], Win32.Nimda.A [Computer Associ
Tipo: Worm, Virus
Longitud de la infección: 57,344 bytes
Sistemas afectados: Microsoft IIS, Windows
Referencias CVE: CVE-2000-0884 CVE-2001-0154


NOTA: Desde el 15 de Enero del 2003, debido a un decremento en las notificaciones de este gusano, Symantec Security Response ha cambiado el nivel de esta amenaza de Categoría 4 a Categoría 2.

No se ha detectado ningún incremento significativo de la actividad como consecuencia de la reactivación de la rutina de envío de correo electrónico tras el período de sueño inicial de 10 días.

W32.Nimda.A@mm es un gusano que utiliza diversos métodos para propagarse mediante el envío masivo por correo electrónico. El nombre del virus procede de la palabra admin escrita al revés.
El gusano

    • Se reenvía por correo electrónico
    • Busca los recursos de red compartidos que se encuentren disponibles
    • Intenta copiarse en los servidores Web de Microsoft Internet Information Server (IIS).
    • El virus infecta tanto archivos locales como archivos remotos que se encuentran en recursos de red compartidos.

El gusano utiliza el fallo de seguridad Unicode Web Traversal. Se puede encontrar un parche para este fallo de seguridad e información adicional sobre él para los equipos que utilicen Windows NT 4.0 con Service Pack 5 y 6a, Windows 2000 Gold o Windows 2000 con Service Pack 1 en: http://www.microsoft.com/technet/security/bulletin/ms00-078.asp . (Este recurso se encuentra en inglés.)

Una vez que el gusano llega por correo electrónico, un fallo de seguridad MIME permite que el virus se ejecute mediante la lectura o la vista previa del archivo. Se puede encontrar un parche para este fallo de seguridad e información adicional sobre él en: http://www.microsoft.com/technet/security/bulletin/MS01-020.asp (Este recurso se encuentra en inglés.)

Si visita un servidor Web que haya sido atacado, se le pedirá que descargue un archivo de correo electrónico .eml (el formato que utiliza Outlook Express), que contiene el gusano como archivo adjunto. Puede deshabilitar la opción Descarga de archivos en la zona de seguridad de Internet de Internet Explorer para impedir este ataque.

Además, el gusano crea recursos de red compartidos abiertos en el equipo infectado, lo que permite el acceso al sistema. Durante este proceso, el gusano crea una cuenta de invitado con privilegios de Administrador.

Herramienta de eliminación
Symantec Security Response ha desarrollado una herramienta que elimina las infecciones causadas por W32.Nimda.A@mm. Esta herramienta se puede descargar desde aquí .

Definiciones de virus
Las definiciones de virus se pueden descargar mediante LiveUpdate o desde el sitio Web de Symantec Security Response en esta ubicación . (Este recurso se encuentra en inglés.)

Soluciones de Symantec
Symantec ofrece una amplia variedad de soluciones que ofrecen defensa y protección ante el gusano W32.Nimda.A@mm. Haga clic aquí (este recurso se encuentra en inglés) para examinar las recomendaciones sobre la forma más adecuada de afrontar la amenaza que suponen W32.Nimda.A@mm y otras "amenazas combinadas" similares.

Información para usuarios de Macintosh
Aunque los equipos Macintosh no se pueden infectar mediante este gusano, sí lo pueden transmitir por correo electrónico a otros equipos con Windows. Asimismo, si comparte recursos de red con equipos que utilicen Windows, el gusano podría colocar archivos en su disco duro. Si desea obtener más información, consulte el documento Are Macintoshes affected by the Nimda virus? (Este recurso se encuentra en inglés.)

Información para usuarios de Novell
Los servidores Novell no son directamente vulnerables, pero los clientes Novell que utilicen Windows pueden acceder al servidor y ejecutar el archivo desde él (mediante un script de inicio de sesión u otros medios), lo que podría propagar el virus todavía más.

NOTA: Microsoft ha distribuido un paquete actualizado para IIS 4.0 en NT 4.0 con Service Pack 5 o posterior, así como todos los parches de seguridad distribuidos hasta la fecha para IIS 5.0 en http://www.microsoft.com/technet/security/bulletin/MS01-044.asp .(Este recurso se encuentra en inglés

Microsoft proporciona información sobre este virus en el siguiente sitio Web: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/topics/nimda.asp . (Este recurso se encuentra en inglés.)




Norton AntiVirus
Norton AntiVirus es la solución antivirus en la que más se confía en el mundo. Ahora repara automáticamente las infecciones de virus comunes, sin interrumpir su trabajo. La actualización automática de las definiciones de virus a través de Internet es muy fácil. La tecnología de Bloqueo de script, exclusiva de Symantec, protege contra amenazas de acción rápida porque identifica y detiene los virus basados en nuevos scripts, tales como el virus "I Love You", incluso entre actualizaciones de definiciones de virus. Para proteger su PC e impedir la difusión de virus a amigos y colegas, Norton AntiVirus analiza y limpia tanto los mensajes entrantes como los salientes. Y para poder acceder inmediatamente a las funciones más necesarias, se integra al Explorador de Windows. Si no dispone de software antivirus, proteja su equipo de gusanos y virus con el galardonado Norton AntiVirus 2003 de Symantec.

Symantec AntiVirus Corporate Edition
Norton AntiVirus Corporate Edition le ofrece la mejor protección del mercado contra virus en plataformas múltiples a nivel de los equipos de escritorio y de los servidores de archivos de toda la empresa. La aplicación Digital Immune System, el resultado de dos años de trabajo conjunto con IBM®, le permite acceder a servicios especializados inteligentes y a mecanismos de respuesta automatizados exclusivos. Closed Loop Automation es una función de respuesta que analiza y desarrolla tratamientos de calidad probada a una velocidad mayor que la de propagación de los virus. Aun cuando se trate de ataques masivos que generen enormes demandas, la arquitectura especializada y escalable de Symantec entregará las definiciones de virus necesarias para una protección completa.

Symantec AntiVirus para SMTP Gateways
Norton AntiVirus para Gateways analiza los archivos comprimidos en la pasarela SMTP, detectando automáticamente los virus de los archivos adjuntos de correo en una cantidad casi ilimitada de extensiones de archivo, tales como los formatos ZIP, UUENCODE o MIME. Como también analiza y repara los archivos incluidos en los formatos de archivo comprimido más comunes, constituye una sólida defensa contra los virus que a menudo vienen ocultos en los archivos comprimidos. Mediante el uso de las funciones proactivas de Norton AntiVirus, los administradores pueden bloquear la entrada de los virus de nueva creación que aún son desconocidos antes de que exista una cura, lo que impide que los ataques de virus generalizados penetren en la organización.

Norton AntiVirus for Lotus Notes
Norton AntiVirus para Lotus Notes/Domino proporciona una protección galardonada, estable y fiable para las bases de datos de Notes/Domino, incluido Lotus Domino Versión 5. Ofrece a los administradores la protección automática disponible más completa contra virus nuevos o existentes y mantiene las bases de datos libres de virus, analizando y reparando automáticamente los archivos adjuntos y los objetos OLE incrustados en mensajes de correo y documentos de bases de datos de Notes. Los análisis progresivos eficientes minimizan el impacto en el rendimiento de la red. Asimismo, el coste total para el propietario se reduce significativamente, ya que los administradores no tienen que reinstalar el motor de análisis cada vez que se descubre un virus nuevo. Norton AntiVirus es fácil de usar, porque todas las operaciones se llevan a cabo en el cliente Notes.

Symantec AntiVirus / Filtering para Microsoft Exchange
Norton AntiVirus 2.5 para Microsoft Exchange detecta los virus tanto nuevos como antiguos en los servidores de Exchange y los elimina automáticamente, por lo que proporciona la protección automática disponible más completa contra virus. Gracias a las interfaces de programación de aplicaciones (API, Application Programming Interface) para el análisis de virus más recientes creadas por Microsoft, Norton AntiVirus para Microsoft Exchange analiza tanto el cuerpo de los mensajes de correo electrónico como los archivos adjuntos para proporcionar la máxima protección, al tiempo que minimiza el impacto en el rendimiento de la red. Norton AntiVirus reduce significativamente el coste total para el propietario, ya que los administradores no tienen que reinstalar el motor de análisis cada vez que se descubre un virus nuevo.

Symantec Client Security
SAntivirus, firewall, y detección de intrusos para la estación de trabajo, integrados en una solución única.

Symantec Enterprise Firewall
Symantec Enterprise Firewall y Raptor Firewall, una vez configurados de forma adecuada, analizan las solicitudes y las respuestas del protocolo de transporte de hipertexto (HTTP, HyperText Transport Protocol) para garantizar que sean conformes con las solicitudes de comentarios (RFC, Requests for Comments) que definen el comportamiento del protocolo de Web. Este mecanismo bloquea eficazmente los ataques más comunes que aprovechan las violaciones de protocolo. Además, Symantec Enterprise Firewall/Raptor Firewall versión 6.5 o posterior se puede configurar para utilizar coincidencia de patrones de dirección URL en las normas que permiten bloquear amenazas cuantificadas en plataformas de servidores Web específicas.

Symantec VelociRaptor
VelociRaptor es una aplicación "conectar y proteger" que ocupa un solo bastidor y garantiza un control absoluto de la información entrante y saliente de una red. Su avanzada tecnología de inspección de datos filtra el tráfico e integra los proxy de nivel de aplicación, el análisis de circuitos de red y el filtrado de paquetes en una sola arquitectura de seguridad de pasarela. Para impedir el acceso a redes privadas e información confidencial, VelociRaptor aplica técnicas de análisis de inspección global que garantizan la validación de los datos en los siete niveles de la pila de protocolo, incluidos los proxy de aplicación.

Symantec Enterprise Security Manager (ESM)
Symantec Enterprise Security Manager es una herramienta de evaluación de vulnerabilidad basada en host y de conformidad de políticas de seguridad escalable. Esta herramienta permite detectar mediante su tecnología de instantáneas sistemas que utilicen un servidor de IIS, sistemas que cuenten con Web Directory Traversal Vulnerability y archivos modificados, nuevos o eliminados. Asimismo, puede detectar otras modificaciones del registro, que pueden ser útiles en el análisis posterior de las pruebas. Si aún no ha desplegado Enterprise Security Manager en la empresa, su uso queda limitado a la hora de recuperarse de un ataque generalizado como W32.Nimda.A@mm. No obstante, su potencial es tremendo a la hora de mitigar el riesgo que supone otro gusano de este tipo, ya que implementa prácticas óptimas, por ejemplo, identificando niveles de parche insuficientes, servicios innecesarios y contraseñas vulnerables. Haga clic aquí (este recurso se encuentra en inglés) para examinar la política de respuesta de seguridad de Enterprise Security Manager frente a Nimda en Windows NT y Windows 2000.

Symantec NetRecon
Symantec NetRecon es un analizador de evaluación de vulnerabilidad con análisis de causa raíz que detecta sistemas que estén ejecutando servicios Web, especialmente Microsoft IIS, y sistemas que cuenten con Web Directory Traversal Vulnerability.

Symantec Intruder Alert
Intruder Alert es una herramienta de detección de intrusos basada en host que detecta actividades malintencionadas y no autorizadas, y que garantiza la seguridad de sistemas, aplicaciones y datos ante el mal uso o el abuso. La función de vigilancia de archivos de Intruder Alert puede vigilar y detectar archivos indispensables en busca de modificaciones, eliminaciones o cambios de ubicación a consecuencia del acceso no autorizado tras haber sido expuestos a W32.Nimda.A@mm. Además, Intruder Alert proporciona utilidades para el desarrollo normas personalizadas que puedan restaurar la versión original de archivos modificados o atacados. Intruder Alert también vigila el sistema en busca de comportamientos sospechosos como la instalación de conjuntos de utilidades para facilitar la entrada en el sistema sin autorización, la instalación de agentes de negación de servicio distribuida (DDoS, Distributed-Denial-of-Service) y la creación o modificación de cuentas. Intruder Alert puede administrar de forma centralizada los sucesos del archivo de registro de toda la red para facilitar el análisis posterior de las pruebas en los sistemas atacados.

Symantec Web Security
Symantec Web Security protege el tráfico Web en la pasarela HTTP/FTP mediante un análisis único de alto rendimiento para detectar la presencia de virus, código perjudicial y contenido Web inadecuado. Ésta es la única solución que combina el análisis heurístico y dependiente del contexto con las técnicas basadas en listas, lo que garantiza la máxima protección frente a amenazas malware conocidas y desconocidas y sitios Web no orientados a los negocios.

Norton Internet Security
Norton Internet Security, el paquete de seguridad en línea integrado de Symantec, incluye Norton AntiVirus, Norton Personal Firewall, Norton Privacy Control y bloqueo de anuncios. La capacidad de actualizar fácilmente el paquete mediante LiveUpdate (con normas de firewall, las definiciones de virus más recientes, etc.) garantiza la seguridad continuada del equipo del usuario ante las amenazas en línea más recientes.

Fechas de protección antivirus

  • Versión inicial de Rapid Release September 18, 2001
  • Última versión de Rapid Release March 23, 2017 revisión 037
  • Versión inicial de Daily Certified September 18, 2001
  • Última versión de Daily Certified March 23, 2017 revisión 041
  • Fecha de lanzamiento inicial de Weekly Certified September 18, 2001

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

Artículo de: Eric Chien

Detectado: September 18, 2001
Actualizado: February 13, 2007 11:38:03 AM
También conocido como: W32/Nimda@MM [McAfee], PE_NIMDA.A [Trend], I-Worm.Nimda [Kaspersky], W32/Nimda-A [Sophos], Win32.Nimda.A [Computer Associ
Tipo: Worm, Virus
Longitud de la infección: 57,344 bytes
Sistemas afectados: Microsoft IIS, Windows
Referencias CVE: CVE-2000-0884 CVE-2001-0154


Infección mediante un servidor Web

W32.Nimda.A@mm intenta infectar los servidores Web de Microsoft IIS a los que no se les haya aplicado un parche. En Microsoft IIS 4.0 y 5.0, es posible generar un localizador uniforme de recursos (URL, Uniform Resource Locator) que haga que IIS se desplace a una carpeta cualquiera de la unidad lógica que contenga la estructura de carpetas Web y acceda a los archivos que hay en su interior. Se puede encontrar un parche para este fallo de seguridad e información adicional sobre él en: http://www.microsoft.com/technet/security/bulletin/ms00-078.asp . (Este recurso se encuentra en inglés.)

El fallo de seguridad Directory Traversal Vulnerability permite al atacante la instalación y ejecución de códigos, así como la adición, modificación o eliminación de archivos y páginas Web en el servidor atacado. Las limitaciones que plantea la vulnerabilidad original incluyen lo siguiente:

  1. La configuración del servidor. La vulnerabilidad sólo permite acceder a los archivos si residen la misma unidad lógica que las carpetas Web. Por ejemplo, si un administrador de Web hubiese configurado el servidor de forma que los archivos del sistema operativo se instalasen en la unidad C y las carpetas Web se instalasen en la unidad D, entonces el atacante no podría aprovechar dicha vulnerabilidad para acceder a los archivos del sistema operativo.
  2. Es preciso que el atacante inicie una sesión interactiva en el servidor.
  3. Los privilegios que se obtienen sólo son los propios de cualquier usuario que inicie una sesión local. La vulnerabilidad sólo permite que el usuario con malas intenciones realice acciones en el contexto de la cuenta IUSR_machinename.

Sin embargo, si el gusano W32.Nimda.A@mm se utiliza como un mecanismo de distribución, es posible emprender un ataque contra un servidor IIS vulnerable desde cualquier ubicación remota para crear, a continuación, una cuenta local con privilegios de administrador en dicho servidor sea cual sea la unidad en la que se encuentre instalado el servidor IIS . El gusano utiliza técnicas de ataque transversal al directorio para acceder al ejecutable cmd.exe en los servidores IIS a los que no se les ha aplicado el parche. El gusano también intenta utilizar servidores IIS que hayan sido previamente atacados mediante CodeRed II (este recurso se encuentra en inglés) para propagarse y acceder a root.exe desde el directorio inetpub/scripts.

NOTA: Si la función de protección en tiempo real de Norton AntiVirus (NAV) detecta archivos como "TFTP34%4.txt" infectados por W32.Nimda.A@mm en la carpeta inetpub/scripts, es posible que haya estado expuesto a CodeRed II con anterioridad. Se recomienda la descarga y ejecución de la herramienta de eliminación de CodeRed para asegurarse de que éste no representa ninguna amenaza para el sistema. La herramienta puede encontrarse aquí . (Este recurso se encuentra en inglés.)

El gusano busca servidores Web utilizando direcciones IP generadas aleatoriamente. Gracias al fallo de seguridad Unicode Web Traversal, el gusano se copia en el servidor Web como admin.dll mediante el protocolo de transferencia de archivos triviales (TFTP, Trivial File Transfer Protocol). Los equipos infectados crean un servidor TFTP de escucha en el puerto 69, correspondiente al protocolo de datagramas de usuario (UDP, User Datagram Protocol), para transferir una copia del gusano.

Este archivo se ejecuta entonces en el servidor Web y se copia en varias ubicaciones. Además de este fallo de seguridad, el gusano intenta infectar los servidores Web que ya han sufrido ataques mediante los archivos root.exe o cmd.exe que se encuentran ubicados en directorios Web ejecutables remotos.

A continuación, el gusano intenta modificar, mediante la inclusión de códigos de JavaScript, archivos con el nombre default, index, main o readme o con la extensión .htm, .html o .asp. JavaScript ocasiona que los usuarios que abran las páginas infectadas reciban el archivo Readme.eml, creado por el gusano. Éste es un archivo de correo electrónico de Outlook Express que contiene el gusano adjunto y utiliza el fallo de seguridad MIME. Por lo tanto, un equipo puede quedar infectado por la simple visualización en el navegador de una página Web infectada.

Modificaciones del sistema

Al ejecutarse, el gusano determina el lugar desde donde se está ejecutando. A continuación, sobrescribe Mmc.exe en la carpeta \Windows o se copia en la carpeta temporal de Windows.

Acto seguido, infecta los archivos ejecutables y se copia en archivos .eml y .nws, además de copiarse como Riched20.dll en las carpetas de la unidad local que contienen archivos .doc. El gusano busca, luego, archivos en las rutas de acceso enumeradas en las siguientes claves de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\App Paths

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\Shell Folders

El gusano se conecta al sistema modificando el archivo System.ini de la siguiente forma:

Shell = explorer.exe load.exe -dontrunold

Asimismo, el gusano reemplaza el archivo Riched20.dll, que es un archivo .dll legítimo de Windows utilizado por programas como Microsoft Word. Así, el gusano se ejecuta cada vez que esos programas lo hacen.

Además, se registra como proceso de servicio o se agrega como proceso remoto al proceso del Explorador, lo que le permite seguir ejecutándose incluso aunque la sesión iniciada por el usuario no permanezca activa.

El gusano se copia como el siguiente archivo:

%Windows\System%\load.exe

NOTA: La ubicación %Windows\System% es una variable. Así, el gusano localiza la carpeta \Windows\System (la opción predeterminada es C:\Windows\System) y se copia en esa ubicación.

Después, el gusano crea recursos de red compartidos abiertos en todas las unidades del equipo modificando la siguiente clave de registro:

HKLM\Software\Microsoft\Windows\
CurrentVersion\Network\LanMan\[C$ -> Z$]

Para que los cambios de configuración surtan efecto es preciso reiniciar el equipo.

El gusano busca cualquier recurso abierto en red mediante iteraciones por el Entorno de red y direcciones de protocolo de Internet (IP, Internet Protocol) generadas aleatoriamente. Se examinan todos los archivos que sean susceptibles de infección en cualquier recurso de red compartido abierto. El gusano infecta todos los archivos .exe, excepto Winzip32.exe.

Después, los archivos .eml y .nws se copian en los recursos de red compartidos abiertos y el gusano se copia como Riched20.dll en cualquier carpeta que contenga archivos .doc.

El gusano cambia la configuración del Explorador para que no se muestren los archivos ocultos ni las extensiones de archivos conocidas.

El gusano agrega al usuario invitado en los grupos Invitados y Administradores. Así se otorgan privilegios de administrador a la cuenta de invitado. Además, el gusano comparte activamente C$ = C:\ sin necesidad de reiniciar el equipo para que esto suceda.

Envío masivo por correo electrónico

Nimda contiene una rutina de envío masivo por correo electrónico que se ejecuta cada 10 días. El gusano inicia la rutina buscando las direcciones de correo electrónico primero. Para ello, realiza búsquedas en los archivos .htm y .html del sistema local. Además, utiliza la interfaz de programación de aplicaciones de mensajería (MAPI, Messaging Applications Programming Interface) pare llevar a cabo iteraciones en todos los mensajes contenidos en los clientes de correo electrónico compatibles con MAPI. Cualquier cliente de estas características puede verse afectado, incluidos Microsoft Outlook y Outlook Express. A continuación, el gusano utiliza estas direcciones de correo electrónico para rellenar los campos A y De. Así, el correo enviado desde el equipo infectado aparenta una procedencia distinta, ya que parece haber sido enviado por aquellos usuarios cuyas direcciones fueron encontradas, en lugar de haber sido enviado por el usuario infectado.

El gusano contiene su propio servidor de protocolo de transferencia simple de correo (SMTP, Simple Mail Transfer Protocol) para enviar correo saliente mediante la entrada de sistema de nombres de dominio (DNS, Domain Name System) configurada para obtener un registro del servidor de correo (registro MX).

Cuando el gusano se recibe por correo electrónico, utiliza un fallo de seguridad MIME bien conocido para ejecutarse. En el caso de que se haya aplicado el parche correspondiente en el sistema, el gusano no podrá ejecutarse mediante Microsoft Outlook o Outlook Express. Se puede encontrar información adicional sobre este fallo de seguridad en: http://www.microsoft.com/technet/security/bulletin/MS01-020.asp . (Este recurso se encuentra en inglés.)

Infección de ejecutables

Este gusano intenta infectar los archivos .EXE. Primero, comprueba si el archivo ya se encuentra infectado. Si no lo está, el gusano se copia en el directorio temporal. El archivo de la víctima se incrusta en la copia. El nuevo archivo se copia entonces sobre el archivo de la víctima reemplazando la versión limpia del archivo original con una versión infectada. Los ejecutables infectados son unos 57.344 bytes más grandes. Cuando se ejecuta un archivo infectado, el archivo limpio original se extrae a un archivo temporal y se ejecuta junto con el gusano. Así pues, es posible que la infección del ejecutable pase desapercibida.

Durante la ejecución, puede que el gusano intente eliminar las copias de sí mismo. Si el archivo ya está en uso o se encuentra bloqueado, el gusano crea el archivo Wininit.ini con una entrada para eliminarse automáticamente al reiniciar el sistema.

Es posible que el gusano cree los dos archivos temporales siguientes en la carpeta temporal de Windows al infectar otros archivos:
  • mep[n.º][n.º][letra][n.º].TMP.exe
  • mep[n.º][n.º][letra][n.º].TMP

Ambos archivos permanecerán ocultos y configurados con atributos de sistema.

Los puertos utilizados por este gusano se enumeran a continuación. Tenga en cuenta que todos ellos son puertos estándar.
    • TCP 25 (SMTP): Este puerto se utiliza para enviar correo electrónico a direcciones de destino obtenidas del cliente atacado.
    • TCP 69 (TFTP): El puerto 69 corresponde a UDP y se abre a fin de efectuar la transferencia de admin.dll mediante TFTP de cara a la infección de IIS. Como parte de este protocolo, se realizan conexiones salientes para transferir los archivos.
    • TCP 80 (HTTP): Este puerto se utiliza para atacar servidores de IIS vulnerables.
    • TCP 137-139, 445 (NETBIOS): Este puerto se utiliza en la transmisión del gusano.

El gusano contiene errores y puede demandar un uso de recursos intensivo. Por ello, es posible que no se lleven a cabo todas las acciones y se advierta la inestabilidad del sistema.

Recomendaciones

Symantec Security Response encourages all users and administrators to adhere to the following basic security "best practices":

  • Use a firewall to block all incoming connections from the Internet to services that should not be publicly available. By default, you should deny all incoming connections and only allow services you explicitly want to offer to the outside world.
  • Enforce a password policy. Complex passwords make it difficult to crack password files on compromised computers. This helps to prevent or limit damage when a computer is compromised.
  • Ensure that programs and users of the computer use the lowest level of privileges necessary to complete a task. When prompted for a root or UAC password, ensure that the program asking for administration-level access is a legitimate application.
  • Disable AutoPlay to prevent the automatic launching of executable files on network and removable drives, and disconnect the drives when not required. If write access is not required, enable read-only mode if the option is available.
  • Turn off file sharing if not needed. If file sharing is required, use ACLs and password protection to limit access. Disable anonymous access to shared folders. Grant access only to user accounts with strong passwords to folders that must be shared.
  • Turn off and remove unnecessary services. By default, many operating systems install auxiliary services that are not critical. These services are avenues of attack. If they are removed, threats have less avenues of attack.
  • If a threat exploits one or more network services, disable, or block access to, those services until a patch is applied.
  • Always keep your patch levels up-to-date, especially on computers that host public services and are accessible through the firewall, such as HTTP, FTP, mail, and DNS services.
  • Configure your email server to block or remove email that contains file attachments that are commonly used to spread threats, such as .vbs, .bat, .exe, .pif and .scr files.
  • Isolate compromised computers quickly to prevent threats from spreading further. Perform a forensic analysis and restore the computers using trusted media.
  • Train employees not to open attachments unless they are expecting them. Also, do not execute software that is downloaded from the Internet unless it has been scanned for viruses. Simply visiting a compromised Web site can cause infection if certain browser vulnerabilities are not patched.
  • If Bluetooth is not required for mobile devices, it should be turned off. If you require its use, ensure that the device's visibility is set to "Hidden" so that it cannot be scanned by other Bluetooth devices. If device pairing must be used, ensure that all devices are set to "Unauthorized", requiring authorization for each connection request. Do not accept applications that are unsigned or sent from unknown sources.
  • For further information on the terms used in this document, please refer to the Security Response glossary.

Artículo de: Eric Chien

Detectado: September 18, 2001
Actualizado: February 13, 2007 11:38:03 AM
También conocido como: W32/Nimda@MM [McAfee], PE_NIMDA.A [Trend], I-Worm.Nimda [Kaspersky], W32/Nimda-A [Sophos], Win32.Nimda.A [Computer Associ
Tipo: Worm, Virus
Longitud de la infección: 57,344 bytes
Sistemas afectados: Microsoft IIS, Windows
Referencias CVE: CVE-2000-0884 CVE-2001-0154


Symantec Security Response ha desarrollado una herramienta que elimina las infecciones causadas por W32.Nimda.A@mm. Esta herramienta se puede descargar desde aquí .

NOTA: Una vez que un equipo resulta atacado por W32.Nimda.A@mm, es posible que se produzcan accesos remotos al sistema por parte usuarios no autorizados. Por este motivo, resulta imposible garantizar la integridad del sistema tras la infección. El usuario remoto podría haber efectuado cambios en el sistema que pueden resumirse, a título orientativo pero no exhaustivo, en los siguientes:

  • Robo o cambio de contraseñas o archivos de contraseñas
  • Instalación de un host de conexión remota, conocido también como puerta trasera
  • Instalación de software de registro de teclas presionadas
  • Configuración de normas de firewall
  • Robo de números de tarjetas de crédito, información bancaria, datos personales, etc.
  • Eliminación o modificación de archivos
  • Envío de material inadecuado o incriminatorio desde la cuenta de correo electrónico de un cliente
  • Modificación de los derechos de acceso en archivos o cuentas de usuario
  • Eliminación de información de archivos de registro para ocultar tales actividades

Si desea garantizar la seguridad de la organización al completo, deberá reinstalar para ello el sistema operativo, restaurar los archivos desde una copia de respaldo anterior a la infección y cambiar todas las contraseñas que hubiese en los equipos infectados o a las que pudiese accederse desde ellos. Ésta es la única forma de garantizar la seguridad de dichos sistemas informáticos. Si desea obtener más información sobre la seguridad en la organización, póngase en contacto con su administrador de sistema.

Instrucciones para la eliminación manual
Si no puede conseguir la herramienta de eliminación o no funciona en su caso concreto, siga los pasos que se describen a continuación:
  1. Ejecute LiveUpdate para confirmar que dispone de las definiciones de virus más recientes.
  2. Siga um dos procedimentos abaixo:
    • En Windows NT/2000/XP, diríjase al paso 3.
    • En Windows 95/98/ME, edite el archivo System.ini de la siguiente forma:
      1. Haga clic en Inicio y seleccione Ejecutar.
      2. Escriba lo siguiente y, después, haga clic en Aceptar:

        edit c:\windows\system.ini

        Se abrirá el Editor de MS-DOS.

        NOTA: si su versión de Windows está instalada en otra unidad, asegúrese de sustituir la letra de la unidad correctamente.
      3. Localice la línea que comienza por shell=
      4. Coloque el cursor justo a la derecha del signo igual.
      5. Presione MAYÚS+FIN para seleccionar todo el texto a la derecha del signo igual y, a continuación, presione SUPR.
      6. Escriba lo siguiente:

        explorer.exe

        La línea debe tener el siguiente aspecto:

        shell=explorer.exe

        NOTA: Algunos equipos pueden mostrar una entrada distinta a Explorer.exe tras shell=. En ese caso, significa que se está utilizando una versión alternativa del entorno de Windows y se debe cambiar la línea anterior por shell=explorer.exe por el momento. Ésta puede volver a cambiarse para reflejar el entorno preferido una vez finalizado el procedimiento.
      7. Haga clic en Archivo y, después, en Salir. Haga clic en Sí cuando se le pregunte si desea guardar los cambios.
  3. Reinicie o computador.

    NOTA: Es posible que se encuentren los archivos infectados al reiniciar el equipo. Se recomienda que intente reparar el archivo infectado y coloque en cuarentena cualquier archivo que no pueda reparar.
  4. Inicie Norton AntiVirus (NAV) y asegúrese de que está configurado para analizar todos los archivos. Si desea instrucciones sobre cómo hacer esto, consulte el documento Cómo configurar Norton AntiVirus para que analice todos los archivos.
  5. Analice el sistema con NAV. Si desea instrucciones sobre cómo realizar un análisis del sistema mediante NAV, consulte el documento Cómo realizar un análisis completo del sistema con Norton Antivirus.
  6. Seleccione Reparar para todos aquellos archivos que se detecten como infectados por W32.Nimda.A@mm o W32.Nimda.A@mm (html) y coloque en cuarentena cualquier archivo que no pueda reparar.
  7. Seleccione Eliminar para todos aquellos archivos que se detecten como infectados por W32.Nimda.A@mm (dr), W32.Nimda.enc o W32.Nimda.A@mm (dll).
  8. Restaure Admin.dll y Riched20.dll mediante copias de respaldo o mediante los archivos .cab de Microsoft Windows u Office si fuese necesario.
  9. Elimine los recursos compartidos innecesarios.
  10. Elimine la cuenta de invitado del grupo Administradores (si procede).

Opción Restaurar sistema de Windows Me/XP
Los usuarios de Windows Me y Windows XP deben deshabilitar temporariamente la opción Restaurar sistema. Esta función, que se encuentra habilitada de forma predeterminada, la emplea Windows Me/XP para restaurar los archivos de los equipos cuando sufren algún daño. Cuando un equipo es infectado con un virus, gusano o caballo de Troya, es posible que él haya sido incluído en la copia de respaldo por la opción Restaurar sistema. De forma predeterminada, Windows no permite que los programas externos modifiquen la función Restaurar sistema. Como resultado, existe la posibilidad de restaurar un archivo infectado, o de detectar un virus en esa ubicación durante un análisis en-línea. Para instrucciones para deshabilitar Restaurar Sistema, consulte la documentación de Windows o uno de los siguientes artículos.
Si desea obtener más información y un método alternativo para deshabilitar la función Restaurar sistema, consulte el artículo Anti-Virus Tools Cannot Clean Infected Files in the _Restore Folder de la Base de información de Microsoft, cuyo ID es: Q263455. (Este recurso se encuentra en inglés.)

Cómo extraer Riched20.dll
Si aprecia cualquier error al iniciar programas como Microsoft Word o éstos no se inician, deberá extraer el archivo Riched20.dll. (Otra posibilidad consiste en reinstalar el sistema operativo y los programas afectados.)

Consulte las instrucciones que correspondan a su sistema operativo.

NOTA: Estas instrucciones se proporcionan para su comodidad y funcionan en la mayoría de los equipos. Si desea obtener información adicional sobre la extracción de archivos, incluidos otros archivos de Windows que hayan podido resultar dañados, consulte un documento de los siguientes:
Windows 95/98
Necesita utilizar el comando Extract en la línea de comandos de DOS. Siga estos pasos para hacerlo utilizando las instrucciones relativas a su sistema operativo.
    NOTAS:
    • Necesita un disco de inicio de Windows 98/Me. (En el caso de Windows 95, también precisa de uno que haya sido creado en un equipo con Windows 98/Me.) Si desea obtener más instrucciones acerca de cómo crear uno, consulte el documento How to create a Windows Startup disk. (Este recurso se encuentra en inglés.)
    • Tenga el CD de instalación de Windows a mano.
    • Cuando escriba el comando, sustituya la letra x por la letra que designa su unidad de CD-ROM. Por ejemplo, si está usando Windows 98 y la unidad de CD-ROM es la D, debe escribir:

      extract /a d:\win98\win98_28.cab riched20.dll /L c:\windows\system
    • Si Windows se encuentra instalado en una carpeta distinta de C:\Windows, sustituya la ruta o el nombre de carpeta correspondientes en la última parte del comando, que se refiere a la carpeta \Windows.
    • Si desea obtener instrucciones más detalladas sobre cómo utilizar el comando Extract, consulte el documento de Microsoft How to Extract Original Compressed Windows Files cuyo ID de artículo es: Q129605. (Este recurso se encuentra en inglés.)
    • Como alternativa a este procedimiento, existe otro más sencillo todavía si trabaja con Windows 98, en el que puede emplear el Comprobador de archivos de sistema para restaurar el archivo. Si desea obtener información sobre cómo hacerlo, consulte la documentación de Windows.
  1. Apague el equipo y desconéctelo de la corriente. Cuando esté apagado, inserte el disco de inicio de Windows 98/Me en la unidad correspondiente y encienda de nuevo el equipo. En el menú, seleccione Iniciar equipo con compatibilidad de CD-ROM.
  2. Escriba el comando correspondiente a su sistema operativo:
    • En Windows 98, escriba lo siguiente y presione INTRO:

      extract /a d:\win98\win98_28.cab riched20.dll /L c:\windows\system
    • En Windows 95, escriba lo siguiente y presione INTRO:

      extract /a win95_10.cab riched20.dll /L c:\windows\system

      NOTA: Si aparece un mensaje de error de cualquier tipo, repita el paso 2 asegurándose de que escribe el comando correspondiente a su sistema operativo y que lo hace exactamente como se ha indicado. En caso contrario, escriba exit y presione INTRO.


Windows NT 4.0
  1. Asegúrese de que Windows esté configurado para mostrar todos los archivos.
  2. Busque y elimine todos los archivos Riched20.dll.
  3. Vuelva a aplicar la versión de Service Pack más reciente. Service Pack reemplazará el archivo con una copia.
  4. Si, una vez hecho esto, los programas como Microsoft Word u Office ya no funcionan o aparecen mensajes de error al iniciarlos, puede que tenga que volver a instalar Microsoft Office.


Windows 2000
En Windows 2000, un programa integrado localiza y reemplaza los archivos de sistema que faltan o han sufrido daños. Para reemplazar la versión dañada de Riched20.dll, lleve a cabo los pasos que se describen a continuación:
  1. Asegúrese de que el Comprobador de archivos de sistema se encuentra activado:
    1. Haga clic en Inicio y seleccione Ejecutar.
    2. Escriba cmd y haga clic en Aceptar.
    3. Escriba lo siguiente y presione INTRO:

      sfc /enable

      Escriba exit y presione INTRO.
  2. Asegúrese de que Windows esté configurado para mostrar todos los archivos:
    1. Inicie o Windows Explorer.
    2. Haga clic en el menú Herramientas y, a continuación, en Opciones de carpeta.
    3. Haga clic en la pestaña Ver.
    4. Desactive la opción Ocultar las extensiones para tipos conocidos de archivo.
    5. Desactive la opción Ocultar archivos protegidos del sistema operativo y, debajo de la carpeta Archivos y carpetas ocultos, marque la opción Mostrar todos los archivos y carpetas ocultos.
    6. Haga clic en Aplicar y, a continuación, en Aceptar.
  3. Busque el archivo Riched20.dll:
    1. Haga clic en Inicio, coloque el puntero sobre Buscar y, a continuación, haga clic en Archivos o carpetas.
    2. Asegúrese de que la unidad seleccionada en la opción Buscar en sea (C:) y que la opción Incluir subcarpetas esté marcada.
    3. En los cuadros Nombre o Con el texto del cuadro de diálogo, escriba (o copie y pegue) el siguiente nombre de archivo:

      riched20.dll
    4. Haga clic en Buscar ahora.
    5. Elimine los archivos mostrados.
  4. Reinicie o computador.
  5. El Comprobador de archivos de sistema reemplazará cualquier versión de Riched20.dll que falte. Si, una vez hecho esto, los programas como Microsoft Word u Office ya no funcionan o aparecen mensajes de error al iniciarlos, puede que tenga que volver a instalar Microsoft Office.

Artículo de: Eric Chien