======================================================================= Message du CERT-RENATER (certsvp@renater.fr) ======================================================================= Bonjour, Le nouveau ver/virus, W32/NIMDA, detecte en france le 17/09/01 vers 16h fait des ravages. Ce ver/virus a cause une tres grosse augmentation du trafic reseau dans plusieurs pays. Le trafic semble etre revenu a la normale ce matin. La chute de l'activite reseau est si rapide que l'on se demande combien de temps cela durera. Question: le ver s'est-il endormi? resurgira-t-il? peut-etre une variante? Les systemes vulnerables sont: Microsoft Windows 95, 98, ME, NT, et 2000. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ **** Attention NIMDA utilise cinqs modes de propagation **** ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ - par la messagerie electronique: ------------------------------- Il envoie des messages infectes a tous les correspondants inscrits dans le carnet d'adresse, les correspondants trouves dans les fichiers d'extension .HTML ou .HTM trouves sur le disque. Le corps du message recu est vide a priori, le sujet vide ou aleatoire est tres long, le document attache se nomme README.EXE. Le contenu du message apparait au client de messagerie comme etant un fichier de type "audio/x-wav" (du son). En fait il contient un fichier encode en base64 dans lequel est cache un fichier executable nomme readme.exe (document attache). Le fichier est automatiquement execute par les clients de messagerie Microsoft Internet Explorer, version 5.5 SP1 les precedentes (sauf la version 5.01 SP2). Ce mecanisme est du a une vulnerabilite du logiciel Internet Explorer expliquee dans l'avis: http://www.cert.org/advisories/CA-2001-06.html du CERT/CC americain. Microsoft a edite un correctif de securite adressant ce probleme: http://www.microsoft.com/technet/security/bulletin/MS01-020.asp Dans cette configuration, le seul fait d'ouvrir le courrier electronique infecte suffit a declencher l'execution de NIMDA. - les repertoires partages : -------------------------- le ver scanne les reseaux locaux et distants a la recherche de repertoires partages. Lorsqu'il trouve des systemes accessibles, il infecte les fichiers executables. De cette facon, lorsque l'utilisateur, execute ou echange des programmes, le processus malin se repand de plus en plus loin. - le web : -------- la consultation de pages web sur des serveurs infectes Quand le ver infecte des serveurs web, il implante son code dans diverses pages web du serveur. Lorsqu'un utilisateur consulte ces pages, le ver est telecharge sur leurs machines. - par exploitation des failles unicodes: ---------------------------------------- par exploitation de failles du serveur IIS (une machine cliente infectee par NIMDA va lancer des scans pour tenter, soit d'exploiter des trous de securite ouverts sur des serveurs infectes par les vers Code Red ou sadmind/IIS, soit d'exploiter une faille connue du serveur IIS, pour prendre la main sur le serveur et implanter son code malicieux. - par echange de fichiers : --------------------------- une fois implante sur un systeme, le ver recherche des fichiers executables a infecter. Il implante son code dans tout fichier d'extension .EXE sauf WINZIP32.EXE. Si l'utilisateur echange des programmes avec des correspondants trop confiants, le ver s'implante alors aussi sur leur systeme. Traces de l'infection des stations de travail: ------------------------------------------------ Apparition des fichiers - README.EXE - README.EML (si le systeme a ete infecte suite a la consultation d'une page web) - fichiers d'extension .NWS Lors de son installation, le ver place des copies de lui meme dans: - le repertoire Windows, sous le nom de MMC.EXE - le repertoire Windows/System/, sous le nom de RICHED20.DLL (ecrasant ainsi le fichier RICHED20.DLL qui s'y trouve normalement) et de LOAD.EXE Nimda ajoute ensuite la ligne: [boot] shell=explorer.exe load.exe -dontrunold au fichier SYSTEM.INI Nimda peut aussi, dans certains cas, creer plusieurs fichiers dont les noms sont de la forme: MEP*.TMP et MEP*.TMP.EXE (c'est a dire commencant par MEP et se terminant par .TMP ou .TMP.EXE). Par exemple: mep01A2.TMP mep1A0.TMP.exe mepE002.TMP.exe mepE003.TMP.exe mepE004.TMP Le ver cherche ensuite a se propager par les divers moyens prevus par son/ses createur(s). Traces de l'infection sur les serveurs web: --------------------------------------------- Apparition des fichiers: - ADMIN.DLL - MMC.EXE dans le repertoire Windows\ - WININIT.INI - README.EXE - README.EML (dans les repertoires ou se trouvent des fichiers d'extension: .HTML, .ASP, et .HTM ou des fichiers dont le nom contient les mots cles: "DEFAULT", "INDEX", "MAIN" et "README") - fichiers d'extension .NWS Le fichier RICHED20.DLL (avec les attributs fichier:systeme et cache) est remplace par le ver. Les fichiers d'extension .EXE accessibles a partir de ce systeme sont infectes. Les fichiers d'extension .HTML, .ASP, et .HTM sont modifies de facon a provoquer le telechargement, sur le systeme de l'utilisateur, du fichier README.EML present dans le repertoire courant. ****** En general, Le ver cree aussi un compte 'guest' sur le systeme et l'ajoute dans le groupe des administrateurs et des invites (guest), met en partage le disque C:\, modifie les cles (ou sous-cles) de registres: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced (modifie ou cree les cles HideFileExt, Hidden, ShowSuperHidden) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Shares\Security (efface toutes les sous cles) Recommandations en cas d'infection: ----------------------------------- - deconnecter votre systeme - scanner le disque (tous les fichiers) au moyen de votre logiciel antivirus mis au jour - eliminer tous les fichiers crees par le ver (reconnus comme infectes par l'antivirus) - verifier les fichiers potentiellement modifies par le ver (*.HTML, *.ASP, et *.HTM) - recuperer une version propre de RICHED20.DLL et la copier dans le repertoire Windows/System/ - verifier les permissions d'acces de tous les fichiers partages - verifier les comptes utilisateurs et les groupes. Effectuer les modifications necessaires - dans le fichier SYSTEM.INI remplacer "shell=explorer.exe load.exe -donotloadold" par "shell=explorer.exe" - analyser tous les disques Pour les machines NT et 2000, appliquer le correctif de securite: http://www.microsoft.com/technet/security/bulletin/MS01-044.asp Nettoyer les machines infectes par Code Red (pouvant etre utilisees par le ver Nimda) http://www.sarc.com/avcenter/venc/data/pf/codered.ii.html http://www.digitalisland.net/codered http://www.up.univ-mrs.fr/wcri/d_serv/d_reseau/d_cert/certmsgALER009:1 Le protocole Netbios, utilise pour les communications entre machines Windows, etant a priori utilise en local, il est aussi conseille de filtrer autant que possible (en entree et en sortie) les ports utilises par ce protocole (135 a 139, TCP et UDP). Dans la mesure du possible, il est aussi fortement recommande d'appliquer sur les postes Windows le correctif de securite pour Internet Explorer: http://www.microsoft.com/technet/security/bulletin/MS01-020.asp References: ---------- Des descriptions detailles et des conseils sont disponibles sur les pages suivantes: F-Secure Virus Descriptions: NIMDA http://www.f-secure.com/v-descs/nimda.shtml CERT® Advisory CA-2001-26 Nimda Worm http://www.cert.org/advisories/CA-2001-26.html "Protect Your Computers From the Nimda Worm" (conseils de Microsoft) http://www.microsoft.com/technet/security/topics/Nimda.asp I-Worm.Nimda http://www.kav.ch/avpve/worms/email/nimda.stm Cordialement, ========================================================= Les serveurs de référence du CERT-Renater http://www.urec.fr/securite http://www.cru.fr/securite http://www.renater.fr ========================================================= + CERT-RENATER | tel : 01-53-94-20-44 + + 151 bd de l'Hopital | fax : 01-53-94-20-41 + + 75013 Paris | email: certsvp@renater.fr + =========================================================