O W32/Nimda.A@mm, ou apenas Nimda, é um perigoso vírus de correio eletrônico que se executa de forma automática, simplesmente por visualizar a mensagem que o contém. É transmitido por correio eletrônico, utilizando uma vulnerabilidade no Internet Explorer 5, e nos clientes de correio Outlook e Outlook Express.

 Esta vulnerabilidade reúne duas características: por um lado utiliza um código HTML que gera um frame, e de outro lado, utiliza um arquivo anexo codificado em base64 marcado como audio/x-wav. Ambas ações confundem o componente do Internet Explorer que oferece os serviços de browser aos visualizadores de correio da Microsoft, e é também utilizado pelo próprio Internet Explorer de forma que este pensa que se trata de um arquivo de áudio que deve ser reproduzido, ou executado, de forma automática enquanto se abre a mensagem.

A infecção ocorre quando o usuário visualiza o conteúdo do e-mail ou abre a mensagem. O cliente de e-mail assume que o anexo é um arquivo de áudio, e o executa automaticamente. Em seguida, o verme se envia por e-mail por estabelecer conexões para a Internet através de comandos SMTP. Para obter os endereços de e-mail das novas vítimas, o vírus se autentica ao sistema de
e-mail através de SimpleMAPI e então percorre as mensagens em busca de endereços de e-mail.

Uma vez que o usuário recebeu a mensagem e foi infectado, se o sistema for Windows 9x, o vírus se copia para a pasta Windows\System
com o nome LOAD.EXE e o atributo de oculto.

Em seguida, o verme modifica o arquivo SYSTEM.INI, adicionando a seguinte linha que garante sua execução todas as vezes que o computador é reiniciado:

Shell=explorer.exe load.exe -dontrunold

O verme também copia um arquivo com atributo de oculto chamado riched20.dll para a pasta Windows\System. Desta forma, toda vez que uma aplicação que usa esta DLL for executada (Wordpad, por exemplo), o vírus é ativado.

Se por outro lado o sistema for Windows NT ou Windows 2000, o verme cria o arquivo LOAD.EXE na pasta Winnt\System32. Cria então um usuário chamado "guest", e o inclui no grupo "administrators". Após isto, ele se loga utilizando este usuário recém criado e compartilha o drive C: como C$.

Este verme também utiliza outra vulnerabilidade do IIS para alterar o conteúdo das páginas listadas abaixo de tal forma que se qualquer usuário tentar visualizá-la, o código alterado pelo vírus abre um arquivo de nome readme.eml (o formato das mensagens do Outlook Express). Este arquivo contém o código do vírus. As páginas são as seguintes: index.html, index.asp, readme.htm, main.html, main.asp, default.htm, index.htm, readme.html, readme.asp, main.htm, default.html e default.asp.

Se o Internet Explores estiver vulnerável, ele imediatamente irá abrir o arquivo readme.exe, que está anexo na mensagem readme.eml.

É importante notar que o sistema que tiver o Internet Explorer com as vulnerabilidades citadas acima, executa arquivo .eml automaticamente, mesmo se o browser estiver devidamente configurado.

A SIn baseada em pesquisas ao vírus , recomenda as seguintes medidas para proteção contra este novo e perigoso vírus:

· Atualizar o antivírus antes de abrir o cliente de correio eletrônico. Todas os anti-vírus já dispõem de vacina para este vírus. Depois de atualizar o antivírus, execute uma análise nos sistemas de arquivos e mensagens.
· Ative a opção de segurança do Internet Explorer e Outlook no nível máximo.

(Extraido de http://www.symantec.com/region/br/avcenter/data/w32.nimda.a@mm.html)

Infecção via Web Server

O W32.Nimda.A@mm tenta infectar servidores da web Microsoft IIS sem patch. No Microsoft IIS 4.0 e 5.0, é possível construir um URL que levaria o IIS a navegar para qualquer pasta desejada na unidade lógica que contém a estrutura da pasta da web e acessar os seus arquivos. Um patch e informações referentes a esta exploração podem encontrados em http://www.microsoft.com/technet/security/bulletin/ms00-078.asp.

A exploração bem sucedida da Vulnerabilidade de Passagem de Diretório dá ao atacante a capacidade de instalar e executar o código, assim como adicionar, mudar ou excluir arquivos ou páginas da web no servidor comprometido. As limitações da vulnerabilidade original incluem:

1. A configuração do servidor. A vulnerabilidade permite acessar somente aqueles arquivos que residirem na mesma unidade lógica da pasta da Web. Por exemplo, se um administrador da Web configurou o servidor de forma que os arquivos do sistema operacional tenham sido instalados na unidade C e as pastas da Web tenham sido instaladas na unidade D, o atacante seria incapaz de usar a vulnerabilidade para acessar os arquivos do sistema operacional.

2. O atacante precisa estar conectado de forma interativa ao servidor.

3. Os privilégios adquiridos seriam somente os de um usuário conectado localmente. A vulnerabilidade permitiria ao usuário malicioso agir somente no contexto da conta IUSR_machinename.

Entretanto, ao usar o worm W32.Nimda.A@mm como mecanismo de entrega, o atacante pode comprometer remotamente um servidor IIS vulnerável e, uma vez comprometido, criar uma conta local no servidor de destino com privilégios de administrador, independentemente da unidade em que o servidor IIS está instalado. O worm usa técnicas de passagem de diretório para acessar o cmd.exe em servidores IIS sem patch. O worm também tenta usar primeiramente os servidores comprometidos pelo CodeRed II para propagar e acessar o root.exe a partir do diretório Inetpub/scripts.

O worm procura por servidores da web que usam endereços de IP gerados aleatoriamente. Usando esta exploração, o worm se copia para o servidor da web como admin.dll via TFTP. Os equipamentos infectados criam um servidor TFTP aguardando (porta 69/UDP) para transferir cópias do worm.

Este arquivo é então executado no servidor da web e copiado para múltiplos locais. Adicionalmente a essa exploração, o worm tenta explorar servidores já comprometidos usando arquivos root.ext ou cmd.exe que estão localizados em diretórios web executados remotamente.

O worm tenta modificar, com JavaScript, arquivos nomeados como default, index, main ou readme ou então arquivos com extensão .htm, .html., e .asp. O JavaScrip apresenta o arquivo Readme.eml (criado pelo worm) para os visitantes que abrem páginas infectadas. Readme.eml é um arquivo de email do Outlook Express com o worm anexo. A mensagem email utiliza MIME exploit. Portanto, um computador pode ser infectado apenas ao acessar um página web infectada.

Modificações do sistema

Quando executado, o worm determina a partir de onde está sendo executado. Em seguida, o worm sobrescreve o MMC.EXE no Diretório do Windows ou cria uma cópia de si próprio no Diretório Temporários do Windows.

Então, o worm infecta executáveis, cria arquivos dele mesmo como .eml e .nws e efetua uma cópia como Riched20.dll em pastas (folders) que contém arquivos .doc no drive local. O worm procura por arquivos em paths listados nas seguintes chaves de registro:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

O worm captura o sistema modificando o arquivo system.ini como segue: Shell = explorer.exe load.exe -dontrunold

Ele também substitui o arquivo Riched20.dll. O Riched20.dll é um .DLL legítimo do Windows usado por aplicativos tais como o Microsoft Word. Ao substituir esta DLL, o worm é executado toda vez que aplicativos tais como o Microsoft Word são executados.

O worm se copia como arquivo:
%Windows\System%\load.exe

NOTA: %Windows\System% é uma variável. O worm localiza a pasta \Windows\System (por padrão é C:\Windows\System) e se copia para esse local.

Em seguida, o worm cria compartilhamentos de rede aberta para todas as unidades no computador, modificando a chave de registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Network\LanMan\[C$ -> Z$]

É necessário reinicializar o computador para que estas configurações sejam efetivadas.

O worm procura por todos os compartilhamentos abertos na rede iterando através da Rede Próxima. Todos os arquivos de compartilhamentos de rede aberta são examinados quando há uma possível infecção. Todos os arquivos .EXE são infectados pelo worm, exceto os arquivos WINZIP32.EXE.

Os arquivos .EML e .NWS, copiados para o compartilhamento de rede aberta e o worm se copia como riched20.dll para qualquer diretório com arquivos .DOC.

O worm altera as configurações do Explorer para não mostrar arquivos ocultos e extensões de arquivos conhecidas.

O worm adicionar o usuário "guest" dentro dos grupos "Guests" e "Administrators". Isso dá à conta "Guest" os privilégios do Administrador. Adicionalmente, o worm compartilha ativamente C$ = C:\ No reboot is required.

Envio de E-Mail em Grande Escala

O worm inicia a rotina de envio em grande escala, primeiro procurando por endereços de e-mail, verificando em arquivos locais .htm e html e também usando funções MAPI para acessar mensagens na caixa de entrada dos clientes de e-mail. Quaisquer clientes MAPI, inclusive o Microsoft Outlook e Outlook Express, podem ser afetados. Esses endereços coletados serão usados não somente no campo Para, como também no campo De. Assim, as mensagens não parecerão estar vindo do usuário infectado.

O worm envia os e-mails de um servidor SMTP próprio, usando uma entrada DNS configurada para obter um registro de servidor de correio (registro MX).

Quando o worm é recebido por e-mail, ele explora uma exposição do MIME, já conhecida há tempos, para se auto-executar. Se um patch foi utilizado para corrigir essa exposição do sistema, o worm não conseguirá se executar. Informações sobre essa exposição podem ser encontradas em http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

Infectando Executáveis

O worm também tenta infectar arquivos .EXE. Primeiro, o worm verifica a já existência de arquivos infectados. Se não existem arquivos infectados, o worm faz um cópia dele mesmo em um diretório temporário. O arquivo da vítima é incorporado dentro da cópia. Esta nova cópia, infectada, é então copiada sobre a versão original do arquivo. Os arquivos executáveis infectados terão aproximadamente 57344 bytes. Quando um arquivo infectado é executado, o worm extrairá o arquivo original (limpo) para um folder temporário que será executado ao mesmo tempo. Assim, pode-se não notar que o executável foi contaminado.

Enquanto é executado, o worm pode tentar excluir cópias de si próprio. Se o arquivo está em uso ou bloqueado, o worm criará o WININIT.INI com uma entrada para se excluir por reinicialização.

Quando estiver infectando arquivos, o worm poderá criar, na pasta Temporária do Windows, arquivos temporários como:
mep[nr][nr][letter][nr].TMP.exe
mep[nr][nr][letter][nr].TMP

Ambos serão ocultos e de sistema.

As portas utilizadas por este worm estão listadas abaixo. Note que são portas padrão.
TCP 25 (SMTP) - utilizada para enviar email para os alvos com endereços retirados do equipamento comprometido.
TCP 69 (TFTP) - abre a porta 69/udp para a transferência TFTP do admin.dll durante a infecção IIS. Como parte deste protocolo faz conexões de saída para transferir os arquivos.
TCP 80 (HTTP) - utiliza esta porta para validar alvos: servidores IIS vulneráveis.
TCP 137-139, 445 (NETBIOS) - utilizada para a transmissão do worm.

Adicionalmente, o worm monitora conexões com uma seqüência particular de bytes e então abre uma porta especificada para aquela solicitação. Esta porta não é restrita para um "range" particular.

O worm contém bugs e pode consumir muitos recursos. Portanto, nem todas as ações ocorrerão e pode ser observada instabilidade do sistema.

Instruções de remoção

NOTA: Uma vez infectado pelo W32.Nimda.A@mm, é possível que o seu sistema tenha sido acessado remotamente por um usuário não autorizado. Por esta razão é impossível garantir a integridade de um sistema infectado. O usuário remoto pode ter feito alterações no seu sistema, incluindo, mas não limitado, aos seguintes itens: Roubo ou alteração de senhas ou arquivos de senhas
Instalação de software de conexão remota, também conhecidos como backdoors
Instalação de software para o registro (log) de digitação (ou ações do teclado)
Configuração das regras de firewall
Roubo de número de cartões de crédito, informações bancárias, dados pessoais e outras informações privadas.
Exclusão ou alteração de arquivos
Envio, através de email, de material inapropriado ou até mesmo material para incriminar a vítima.
Alteração de direitos de acesso a determinadas contas ou arquivos.
Exclusão de informações dos "arquivos de log" (ou registros) para não deixar evidências sobre a invasão.

Se você precisa garantir a segurança da sua empresa ou organização, você precisa reinstalar o sistema operacional, restaurar arquivos de backup efetuados antes da infecção e alterar todas as senhas que estavam sendo utilizadas no computador infectado ou que poderiam ser acessadas através dele. Esta é a única forma de garantir que os sistemas estarão seguros. Para mais informações sobre segurança na sua empresa ou organização, entre em contato com o administrador de sistemas.

Você precisa utilizar o comando EXTRACT no prompt do DOS. Siga os seguintes passos utilizando as instruções para o seu sistema operacional.

• Você precisará de um disco de inicialização do Windows 98/Me. Se estiver usando o Windows 95, você precisará de um que tenha sido criado em um computador com Windows 98/Me). Para instruções sobre como proceder para criar um disco de inicialização, veja o documento (em inglês) How to create a Windows Startup disk.

• Tenha o disco de instalação do Windows disponível.

• Quando estiver digitando o comando, substitua a letra correspondente do drive do seu CD-ROM pela letra relevante ao seu caso. Por exemplo, se estiver usando o Windows 98 e o seu CD-ROM for o drive D, você deve digitar extract /a d:\win98\win98_40.cab riched20.dll /L c:\windows\system

• Se o seu Windows estiver em outro folder que não seja C:\Windows, você deve substituir o path apropriado ou nome do folder que corresponda ao seu folder \Windows.

• Para instruções detalhas sobre o comando EXTRACT, seja a documentação da Microsoft: How to Extract Original Compressed Windows Files, Article ID: Q129605.

• Para uma alternativa, de alguma forma mais simples, você pode usar o System file Checker no Windows 98 para restaurar o arquivo. Para informações sobre este recurso, por favor, veja a sua documentação do Windows.

1. Desligue o computador e desligue a chave de força. Uma vez que o computador estiver desligado, insira o disco de inicialização do Windows 98/Me no drive e reinicialize o computador. Quando o menu de seleção aparecer, selecione START WITH CD-ROM SUPPORT (ou Inicie com o suporte a CD-ROM).

2. Digite o comando aplicável ao seu sistema operacional Se estiver usando o Windows 98, digite o seguinte e tecle ENTER extract /a d:\win98\win98_40.cab riched20.dll /L c:\windows\system Se estiver usando o Windows 95, digite o seguinte e tecle ENTER extract /a win95_10.cab riched20.dll /L c:\windows\system

3. Se você encontrar alguma mensagem de erro, de qualquer tipo, repita o passo (2) e tenha certeza de que você digitou corretamente o comando para o sue sistema operacional -- exatamente como descrito. Senão, digite EXIT e pressione ENTER.

1. Tenha certeza de que o Windows está configurado para mostrar todos os arquivos.

2. Procure e exclua todos os arquivos Riched20.dll

3. Reinstale os Service Packs mais recentes. O Service Pack substituirá o arquivo com uma nova cópia.

4. Se após a substituição dos arquivos Riched20.dll programas como o Word ou Office não funcionarem, our se estiver recebendo mensagens de erro, você terá que reinstalar o Microsoft Office.

1. Tenha certeza de que o System File Checker está habilitado.
     1.1 Clique em START (Iniciar) e em RUN (Executar)
     1.2 Digite cmd e clique OK
     1.3 Digite o seguinte e tecle ENTER sfc /enable
     1.4 Digite EXIT e pressione ENTER

2. Tenha certeza de que o Windows está configurado para mostrar todos os arquivos:
     2.1 Inicie o Windows Explorer
     2.2 Clique o menu Tools (Ferramentas) e clique no folder OPTIONS (Opções)
     2.3 Clique a guia VIEW (Visualizar)
     2.4 Desmarque "Hide file extensions for known file types." (Ocultar extensões de arquivos para tipos de arquivos conhecidos)
     2.5 Desmarque "Hide protected operating system files" (Ocultar arquivos protegidos de sistema operacional) e sobre "Hidden Files" (Arquivos ocultos) clique em "Show hidden Files and folers" (Visualizar pastas e arquivos ocultos).
     2.6 Clique APLLY (Aplicar) e em seguida OK

3. Procure o arquivo Riched20.dll
     3.1 Clique START (Iniciar), aponte para FIND ou SEARCH (Localizar) e clique em Files ou folder (Arquivos ou pastas)
     3.2 Tenha certeza de que "Look in" (verificar em) esteja marcado para C e que os subfolder serão incluídos na procura.
     3.3 Na caixa SEARCH FOR (Procurar por) digite: riched20.dll
     3.4 Clique em FIND NOW (Procurar agora)
     3.5 Exclua os arquivos que aparecerem
4. Reinicialize o seu computador
   
5. O System File Checker substituirá todos os arquivos que estiverem faltando relacionados com Riched20.dll. Se após a substituição dos arquivos Riched20.dll os programas Word ou Office não rodarem corretamente, ou se verificar mensagens de erro ao iniciar, você deve reinstalar o Microsoft Office.

1. Abra o Norton AntiVirus

2. Clique em Opções, Norton AntiVirus

3. Selecione Verificações Manuais

4. Em Tipos de Arquivos à Verificar marque a opção Todos os Arquivos

5. Selecione Proteção Automática

6. Em Tipos de Arquivos à Verificar marque a opção Todos os Arquivos

7. Clique em OK

8. No Norton AntiVirus, clique em Verificar Vírus Existentes

9. Clique duas vezes na primeira opção que aparecerá no lado direito da janela (Verificar Meu Computador ou Verificar Todos os Discos Rígidos)

Escrito por Eric Chien