Tools:   Web Probe  |  World-Wide WHOIS  |  Trace Route  |  Nimda Self Test  |  Code Red Self Test  |  W32.Bugbear
Nimda, Auto Prueba

¿Que es el Gusano Nimda?
El gusano Nimda, también conocido como W32.Nimda.A@mm, Code Rainbow, Minda, Nimbda, es una porción de software auto-reproducible que infecta los servidores de web IIS así como a los usuarios que ejecutan Internet Explorer 5. Fue visto en su estado natural el martes 18 de Septiembre alrededor de las 9a.m. El gusano se propaga en al menos 4 formas distintas, incluyendo:

Este gusano está informado como extremadamente agresivo en sus exploraciones, y de acuerdo a distintos alertas se difunde rápidamente.

Firma
El Gusano verifica los sistemas por un número de posibles puntos de ingreso distintos. El siguiente extracto de archivo de registro es de un sistema Apache que está siendo activamente explorado por otros sitios:

"GET /scripts/root.exe?/c+dir HTTP/1.0" 302 209 - - - "-" "-"
"GET /MSADC/root.exe?/c+dir HTTP/1.0" 302 209 - - - "-" "-"
"GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 209 - - - "-" "-"
"GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 209 - - - "-" "-"
"GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 209 - - - "-" "-"
"GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 209 - - - "-" "-"
"GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 209 - - - "-" "-"
"GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 209 - - - "-" "-"
"GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 209 - - - "-" "-"
"GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 209 - - - "-" "-"

Pruébeme Ahora
Si está ejecutando su navegador desde el mismo sistema que está ejecutando su servidor Web, simplemente haga clic en el siguiente botón para determinar si su servidor web es susceptible o ha sido infectado por el Gusano Nimda.


(Por favor tenga paciencia - demora 30 segundos ejecutar la prueba, por lo que, ¡espere hasta que la página aparezca!)
¿Cómo lo Detengo?
Le recomendamos a los usuarios que tomen los pasos para actualizar sus versiones de IIS a la mas nueva, asegurándose que se aplican todos los parches de seguridad. Los usuarios de Internet Explorer también deberían tener cuidado de actualizar sus navegadores.

Referencias
Incidents.org
TruSecure
Symantec
Newsbytes
F-Secure
Sophos



© 1998-2024 E-Soft Inc. Todos los derechos reservados.