W32/Nimda-D
Aliases
W32.Nimda.E@mm, W32/Nimda.g@MM
Type
Win32 executable file virus
Detection
Detected by Sophos Anti-Virus.
Description
 
W32/Nimda-D is a variant of W32/Nimda-A. The virus spreads via email, network shares and websites.
 
The W32/Nimda-D virus can infect users of the Windows 95/98/Me operating systems as well as Windows NT and 2000.
 
Affected emails have an attached file called SAMPLE.EXE. The virus attempts to exploit a MIME Vulnerability in some versions of Microsoft Outlook, Microsoft Outlook Express, and Internet Explorer to allow the executable file to run automatically without the user double-clicking on the attachment.
 
The virus copies itself into the Windows directory with the filenames load.exe and riched20.dll (both have their file attributes set to "hidden" ), and attempts to spread itself to other users via network shares.
 
The virus alters the System.ini file to include the line
 
shell=explorer.exe load.exe -dontrunold
 
so that it executes on Windows startup.
 
The virus forwards itself to other email addresses found on the computer. Furthermore, the virus looks for IIS web servers suffering from several vulnerabilities, including the Unicode Directory Traversal vulnerability.
 
The virus scans for vulnerable IIS HTTP servers by generating random IP addresses and sending malformed HTTP GET requests. When a vulnerable machine is found, the virus copies itself into file HTTPODBC.DLL and runs.
 
On some affected machines, the virus also copies itself into the Windows directory with the filename CSRSS.EXE.
 
The virus attempts to alter the contents of pages on such servers, hunting for files with the filenames:
 
index.html
index.htm
index.asp
readme.html
readme.htm
readme.asp
main.html
main.htm
main.asp
default.html
default.htm
default.asp
 
If it finds one of the above files on the web server, the virus attempts to alter the contents of the file, adding a section of malicious JavaScript code to the end of the file.
 
If the website is then browsed by a user with an insecure version of Internet Explorer, the malicious code automatically downloads a file called readme.eml onto the user's computer - which is then executed, forwarding the virus once more.
 
While spreading using shared network drives, the virus drops a number of randomly named files with the extension EML and NWS. The content of those files is identical to the content of readme.eml.
 
The virus body contains the text "Concept Virus (CV) V.6 Copyright(C) 2001, (This's CV No Nimda.)".
 
Sophos recommends that users add the extensions .EML and .NWS to the executables list of Sophos Anti-Virus in order to detect infections in files with those extensions.
 
Users with web servers compromised by Nimda are advised to replace all modified files, and to carry out a full security audit. One of the exploits by which Nimda attacks servers relies on holes left behind by a previous Troj/CodeRed-II attack - and Nimda itself tries to open additional security holes, such as giving administrative powers to the "guest" user, which is supposed to be a highly restricted account.
 
Microsoft has issued a security patch which reportedly secures IIS against the web server folder traversal vulnerability. It is available at http://www.microsoft.com/technet/security/bulletin/ms00-078.asp.
 
Microsoft has also issued a patch which secures against the incorrect MIME header vulnerability which can be downloaded from http://www.microsoft.com/technet/security/bulletin/MS01-027.asp.
(This patch fixes a number of vulnerabilities in Microsoft's software, including the one exploited by this virus.)
 
For more information on how to protect your systems against Nimda please read http://www.microsoft.com/technet/security/topics/Nimda.asp.
 
Microsoft makes available patches to secure against vulnerabilities in its products at http://www.microsoft.com/technet/itsolutions/security/current.asp.
Recovery
 
Please read the instructions for disinfecting W32/Nimda-D.

Instructions for disinfecting W32/Nimda-A and W32/Nimda-D
 
Sophos researchers have developed a standalone utility, SWNIMDA which can detect and disinfect the W32/Nimda-A and W32/Nimda-D viruses. These are Windows 32 viruses which spread via email, network shares and websites. The W32/Nimda-A and W32/Nimda-D viruses can infect users of the Windows 95/98/Me operating systems as well as Windows NT and 2000.
 Download nimda.zip (Utility and instructions, Zip file)
 Download nimdasfx.exe (Utility and instructions, self-extracting Zip file)
 Read instructions for using the utility
 
If you are using the Zip version of the file, unzip it using a tool such as WinZip or PKZIP.

W32/Nimda-D
Alias
W32.Nimda.E@mm, W32/Nimda.g@MM
Type
Virus de fichier exécutable Win32
Détection
Détecté par Sophos Anti-Virus.
Description
 
W32/Nimda-D est une variante de W32/Nimda-A. Le virus se propage par le biais d'e-mails, des partages réseau et des sites Internet.
 
Le virus W32/Nimda-D peut infecter les utilisateurs de systèmes d'exploitation Windows 95/98/Me ainsi que ceux de Windows NT et 2000.
 
Les e-mails affectés par le virus ont une pièce jointe nommée SAMPLE.EXE. Le virus essaie d'exploiter une faille de sécurité MIME, présente dans certaines versions de Microsoft Outlook, Microsoft Outlook Express, et Internet Explorer, qui permet d'exécuter automatiquement un fichier sans que l'utilisateur ne double-clique sur la pièce jointe.
 
Le virus se copie dans le répertoire Windows sous les noms de fichiers load.exe et riched20.dll (ayant les attributs de fichier configurés à "caché" ) et essaie de se propager vers d'autres utilisateurs par le biais de partages réseau.
 
Le virus modifie le fichier System.ini pour inclure la ligne
 
shell=explorer.exe load.exe -dontrunold
 
pour qu'il s'exécute au démarrage de Windows.
 
Le virus s'envoie à d'autres adresses e-mail trouvées sur l'ordinateur. De plus, le virus recherche des serveurs web IIS souffrant de plusieurs failles, incluant la faille Unicode Directory Traversal.
 
Le virus parcourt les serveurs HTTP IIS en générant de façon aléatoire des adresses IP et en envoyant des requêtes HTTP GET malformées. Lorsqu'une machine vulnérable est trouvée, le virus se copie dans le fichier HTTPODBC.DLL et s'exécute.
 
Sur certaines machines infectées, le virus se copie aussi dans le répertoire Windows sous le nom de fichier CSRSS.EXE.
 
Le virus essaie de modifier le contenu des pages de tels serveurs, cherchant des fichiers avec les noms suivants :
 
index.html
index.htm
index.asp
readme.html
readme.htm
readme.asp
main.html
main.htm
main.asp
default.html
default.htm
default.asp
 
Si l'un des fichiers est trouvé sur le serveur web, le virus essaie de modifier le contenu du fichier, en ajoutant une partie de code JavaScript malveillante à la fin du fichier.
 
Si le site web est alors consulté par un utilisateur avec une version non- sécurisée d'Internet Explorer, le code malveillant télécharge automatiquement un fichier nommé readme.eml sur l'ordinateur de l'utilisateur - qui est ensuite exécuté, faisant suivre le virus une fois de plus.
 
Lorsque le virus se propage en utilisant les lecteurs réseau, il place un nombre de fichiers aux noms aléatoires avec les extensions EML et NWS. Le contenu de ces fichiers est identique au contenu du fichier readme.eml.
 
Le corps du virus contient le texte "Concept Virus (CV) V.6 Copyright(C) 2001, (This's CV No Nimda.)".
 
Sophos recommande aux utilisateurs d'ajouter les extensions .EML et .NWS dans la liste des fichiers exécutables de Sophos Anti-Virus de manière à détecter les infections des fichiers avec de telles extensions.
 
Il est conseillé aux utilisateurs de serveurs Internet compromis par Nimda de remplacer tous les fichiers modifiés et de procéder à un audit de sécurité. L'une des faillles exploitées par Nimda pour attaquer les serveurs repose sur des entrées laissées par une attaque de Troj/CodeRed-II - et Nimda, lui-même essaie d'ouvrir des failles supplémentaires, en donnant par exemple des pouvoirs administratifs à l'utilisateur "invité", qui est supposé être un compte fortement restreint.
 
Microsoft a publié un correctif qui est supposé sécuriser IIS contre la faille Unicode Directory Traversal. Il est disponible à l'adresse http://www.microsoft.com/technet/security/bulletin/ms00-078.asp.
 
Microsoft a aussi publié un correctif qui sécurise la faille présente dans les en-tête MIME incorrect et peut être téléchargé à partir de http://www.microsoft.com/technet/security/bulletin/MS01-027.asp.
(Ce correctif résout un nombre de failles dans le logiciel de Microsoft, incluant celle exploitée par ce ver.)
 
Pour plus d'informations sur la protection de vos systèmes contre Nimda, veuillez lire http://www.microsoft.com/technet/security/topics/Nimda.asp .
 
Microsoft publie les correctifs de ses produits à l'adresse http://www.microsoft.com/technet/itsolutions/security/current.asp.
Guérison
 
Veuillez lire les instructions pour désinfecter W32/Nimda-D.

nstructions pour désinfecter vos machines de W32/Nimda-A et de W32/Nimda-D
 
Les chercheurs de Sophos ont développé un utilitaire autonome, SWNIMDA, capable de détecter et d'éliminer les virus W32/Nimda-A et W32/Nimda-D. Ce sont des virus Windows 32 qui se propagent au travers des mails, partages réseau et sites web. Les virus W32/Nimda-A et W32/Nimda-D peuvent infecter les utilisateurs des systèmes d'exploitation Windows 95/98/Me, ainsi que Windows NT et 2000.
 Télécharger nimda.zip (utilitaire et instructions, fichier Zip)
 Télécharger nimdasfx.exe (utilitaire et instructions, fichier Zip auto-extractible)
 Lire les instructions d'utilisation de l'utilitaire (en anglais)
 
Si vous utilisez la version Zip du fichier, dézippez-le avec WinZip ou PKZIP.
 
Voir aussi :
 Conseils de Microsoft pour sécuriser vos PC et serveurs contre les attaques de Nimda
 Analyse Sophos de W32/Nimda-A
 Analyse Sophos de W32/Nimda-D
 Installation de fichiers d'identités virales (IDE)