Nimda, Auto Prueba
¿Que es el Gusano Nimda? |
|
El gusano Nimda, también conocido como W32.Nimda.A@mm, Code Rainbow, Minda, Nimbda,
es una porción de software auto-reproducible que infecta los servidores de web IIS
así como a los usuarios que ejecutan Internet Explorer 5. Fue visto en su estado
natural el martes 18 de Septiembre alrededor de las 9a.m. El gusano se propaga en
al menos 4 formas distintas, incluyendo:
- Intenta explorar numerosas exposiciones distintas de IIS, incluyendo
la exposición Unicode e infecciones de gusanos anteriores (SAdminD/Red Code
II),
y sobre la infección, comienza un nuevo ciclo de ataques.
- Modificaciones en páginas web sobre servidores de web, que cuando son vistos por el
IE 5.0, provocará que el IE ejecute código malicioso el cual infecta el sistema del usuario.
Advierta - el usuario no necesita estar ejecutando IIS.
- Cosecha las direcciones de correo de la libreta de direcciones y páginas de
servidores de web
almacenadas en los sistemas de usuarios que se infectan, enviando adjuntos infectados a otros
usuarios que se ejecutarán automáticamente si son abiertos.
- La propagación vía archivos compartidos sobre accesos compartidos vía usuarios invitados y
donde no se ha fijado contraseña.
Este gusano está informado como extremadamente agresivo en sus exploraciones, y
de acuerdo a
distintos alertas se difunde rápidamente.
Firma |
|
El Gusano verifica los sistemas por un número de posibles puntos de ingreso distintos.
El siguiente extracto de archivo de registro es de un sistema Apache que está siendo activamente
explorado por otros sitios:
"GET /scripts/root.exe?/c+dir HTTP/1.0" 302 209 - - - "-" "-"
"GET /MSADC/root.exe?/c+dir HTTP/1.0" 302 209 - - - "-" "-"
"GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 209 - - - "-" "-"
"GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 209 - - - "-" "-"
"GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 209 - - - "-" "-"
"GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 209 - - - "-" "-"
"GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 209 - - - "-" "-"
"GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 209 - - - "-" "-"
"GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 209 - - - "-" "-"
"GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 209 - - - "-" "-"
Pruébeme Ahora |
|
Si está ejecutando su navegador desde el mismo sistema que está ejecutando su servidor Web,
simplemente haga clic en el siguiente botón para determinar si su servidor web es
susceptible o ha sido infectado por el Gusano Nimda.
¿Cómo lo Detengo? |
|
Le recomendamos a los usuarios que tomen los pasos para actualizar sus versiones de
IIS a la mas nueva, asegurándose que se aplican todos los parches de seguridad.
Los usuarios de Internet Explorer también deberían tener cuidado de actualizar sus navegadores.
Referencias |
|
Incidents.org
TruSecure
Symantec
Newsbytes
F-Secure
Sophos