W32/NIMDA

Bonjour,
Le nouveau ver/virus, W32/NIMDA, détecté en France le 17/09/01 vers 16h fait des ravages.
Ce ver/virus a causé une très grosse augmentation du trafic réseau dans plusieurs pays. Le trafic semble être revenu à la normale ce matin. La chute de l'activité réseau est si rapide que l'on se demande combien de temps cela durera. Question : le ver s'est-il endormi ? resurgira-t-il ? peut-être une variante ?
Les systemes vulnérables sont : Microsoft Windows 95, 98, ME, NT, et 2000.

Attention NIMDA utilise cinq modes de propagation

1. par la messagerie électronique
   Il envoie des messages infectés à tous les correspondants inscrits dans le carnet d'adresse, les correspondants trouvés dans les fichiers d'extension .HTML ou .HTM trouvés sur le disque.
   Le corps du message reçu est vide a priori, le sujet vide ou aléatoire est très long, le document attaché se nomme README.EXE.
   Le contenu du message apparait au client de messagerie comme étant un fichier de type "audio/x-wav" (du son). En fait il contient un fichier encodé en base64 dans lequel est caché un fichier exécutable nommé readme.exe (document attaché). Le fichier est automatiquement exécuté par les clients de messagerie Microsoft Internet Explorer, version 5.5 SP1 les précédentes (sauf la version 5.01 SP2).

   Ce mécanisme est du à une vulnerabilité du logiciel Internet Explorer expliquée dans l'avis :
   http://www.cert.org/advisories/CA-2001-06.html
   du CERT/CC americain.

   Microsoft a édité un correctif de sécurité adressant ce problème :
   http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/virus/nimda.asp

   Dans cette configuration, le seul fait d'ouvrir le courrier électronique infecté suffit à déclencher l'exécution de NIMDA.

2. les répertoires partagés
   le ver scanne les réseaux locaux et distants à la recherche de répertoires partagés. Lorsqu'il trouve des systèmes accessibles, il infecte les fichiers exécutables. De cette façon, lorsque l'utilisateur exécute ou échange des programmes, le processus malin se répand de plus en plus loin.

3. le web
   la consultation de pages web sur des serveurs infectés Quand le ver infecte des serveurs web, il implante son code dans diverses pages web du serveur. Lorsqu'un utilisateur consulte ces pages, le ver est téléchargé sur leurs machines.

4. par exploitation des failles unicode
   par exploitation de failles du serveur IIS, une machine cliente infectée par NIMDA va lancer des scans pour tenter, soit d'exploiter des trous de sécurité ouverts sur des serveurs infectés par les vers Code Red ou sadmind/IIS, soit d'exploiter une faille connue du serveur IIS, pour prendre la main sur le serveur et implanter son code malicieux.

5. par échange de fichiers
   une fois implanté sur un système, le ver recherche des fichiers exécutables à infecter. Il implante son code dans tout fichier d'extension .EXE sauf WINZIP32.EXE.
   Si l'utilisateur échange des programmes avec des correspondants trop confiants, le ver s'implante alors aussi sur leur système.

Traces de l'infection des stations de travail

• README.EXE
• README.EML (si le système a été infecté suite à la consultation d'une page web)
• fichiers d'extension .NWS

Lors de son installation, le ver place des copies de lui-même dans :

• le répertoire Windows, sous le nom de MMC.EXE
• le répertoire Windows/System/, sous le nom de RICHED20.DLL (écrasant ainsi le fichier RICHED20.DLL qui s'y trouve normalement) et de LOAD.EXE

Nimda ajoute ensuite la ligne
[boot] shell=explorer.exe load.exe -dontrunold
au fichier SYSTEM.INI

Nimda peut aussi, dans certains cas, créer plusieurs fichiers dont les noms sont de la forme : MEP*.TMP et MEP*.TMP.EXE (c'est-à-dire commençant par MEP et se terminant par .TMP ou .TMP.EXE). Par exemple : mep01A2.TMP, mep1A0.TMP.exe, mepE002.TMP.exe, mepE003.TMP.exe, mepE004.TMP

Le ver cherche ensuite à se propager par les divers moyens prévus par son/ses créateur(s).

Traces de l'infection sur les serveurs web

• ADMIN.DLL
• MMC.EXE dans le répertoire Windows\
• WININIT.INI
• README.EXE
• README.EML (dans les répertoires où se trouvent des fichiers d'extension : .HTML, .ASP, et .HTM, ou des fichiers dont le nom contient les mots-clés : "DEFAULT", "INDEX", "MAIN" et "README")
• fichiers d'extension .NWS

Le fichier RICHED20.DLL (avec les attributs fichier :systeme et cache) est remplacé par le ver.

Les fichiers d'extension .EXE accessibles à partir de ce système sont infectés.

Les fichiers d'extension .HTML, .ASP, et .HTM sont modifiés de façon à provoquer le téléchargement, sur le système de l'utilisateur, du fichier README.EML présent dans le répertoire courant.

En général

• le ver crée aussi un compte 'guest' sur le système et l'ajoute dans le groupe des administrateurs et des invités (guest),

• met en partage le disque C:\

• modifie les clés (ou sous-clés) de registres :

  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
  (modifie ou crée les clés HideFileExt, Hidden, ShowSuperHidden)

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Shares\Security
  (efface toutes les sous-clés)

Recommandations en cas d'infection

• déconnecter votre système

• scanner le disque (tous les fichiers) au moyen de votre logiciel antivirus mis à jour

• éliminer tous les fichiers créés par le ver (reconnus comme infectés par l'antivirus)

• vérifier les fichiers potentiellement modifiés par le ver (*.HTML, *.ASP, et *.HTM)

• récupérer une version propre de RICHED20.DLL et la copier dans le répertoire Windows/System/

• vérifier les permissions d'accès de tous les fichiers partagés

• vérifier les comptes utilisateurs et les groupes. Effectuer les modifications nécessaires

• dans le fichier SYSTEM.INI remplacer
  shell=explorer.exe load.exe -donotloadold
  par
  shell=explorer.exe

• analyser tous les disques

Pour les machines NT et 2000, appliquer le correctif de securité :
http://www.microsoft.com/technet/security/bulletin/MS01-044.asp

Nettoyer les machines infectées par Code Red (pouvant être utilisées par le ver Nimda)

• http://www.sarc.com/avcenter/venc/data/pf/codered.ii.html
• http://www.cert-ist.com/francais/avis/Nimda.htm

Le protocole Netbios, utilisé pour les communications entre machines Windows, étant a priori utilisé en local, il est aussi conseillé de filtrer autant que possible (en entrée et en sortie) les ports utilisés par ce protocole (135 à 139, TCP et UDP).

Dans la mesure du possible, il est aussi fortement recommandé d'appliquer sur les postes Windows le correctif de securité pour Internet Explorer :
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

Références

• F-Secure Virus Descriptions: NIMDA http://www.f-secure.com/v-descs/nimda.shtml
• CERT® Advisory CA-2001-26 Nimda Worm http://www.cert.org/advisories/CA-2001-26.html
• "Protect Your Computers From the Nimda Worm" (conseils de Microsoft) http://www.microsoft.com/technet/security/topics/Nimda.asp
• I-Worm.Nimda (site Kaspersky) http://www.kav.ch/avpve/worms/email/nimda.stm