S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 19 septembre 2001
N° CERTA-2001-ALE-013
Affaire suivie par: CERT-FR
le 19 septembre 2001

Bulletin d'alerte du CERT-FR

Objet: Propagation du ver/virus NIMDA (Concept Virus)

Gestion du document

Référence CERTA-2001-ALE-013
Titre Propagation du ver/virus NIMDA (Concept Virus)
Date de la première version 19 septembre 2001
Date de la dernière version 19 septembre 2001
Source(s) Avis CA-2001-26 du Cert CC
FIRST
Sophos
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire ;
  • Accès aux données ;
  • Virus ;
  • Déni de service ;
  • Compromission ;
  • Installation de portes dérobées.

Systèmes affectés

Microsoft Windows 95, 98, ME, NT, et 2000.

Résumé

Un nouveau ver se propage en exploitant des vulnérabilités connues sous Microsoft Windows.

Description

Le ver NIMDA s'attaque aux serveurs IIS ainsi qu'aux postes clients utilisant Internet Explorer et/ou Outlook.

Il s'installe sur les serveurs par le biais des vulnérabilités suivantes :

  • Failles des serveurs IIS décrites dans les avis CERTA-2000-AVI-028, CERTA-2001-AVI-053 et CERTA-2000-AVI-061 ;
  • Réutilisation d'une porte dérobée préalablement installée par le ver Code Red II ou le ver sadmind (Réf : CERTA-2001-ALE-008-003 et CERTA-2001-ALE-007)

Une fois installé, le ver modifie tous les fichiers web (HTML et ASP) en y incorporant un script « javascript » dans le but d'infecter les visiteurs du site contaminé (Exploitation d'une vulnérabilité de Windows Média Player, Réf : CERTA-2001-AVI-041).

Sur les postes clients, le ver se transmet par la messagerie en expédiant aux destinataires du carnet d'adresses Outlook un message accompagné d'une pièce jointe README.EXE ou lors de la consultation d'une page Web infectée par le code javascript précédemment cité.

Lors de l'infection, le ver active le partage masqué des disques (exemple : partage de C sous C$).

  • Sous Windows 9x et Me : partage total sans mot de passe ;
  • Sous Windows NT et 2000 : création d'un compte guest dans le groupe admin.

Ce partage ne devient effectif qu'en cas de redémarrage de la machine infectée.

Détection

  • Vérifier les extraits des logs au niveau des serveurs IIS.

    Exemples de log :

    GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir

    GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir

    GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir

    GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir

    GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir

    GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir

    GET /scripts/root.exe?/c+dir

    GET /MSADC/root.exe?/c+dir

    GET /c/winnt/system32/cmd.exe?/c+dir

    GET /d/winnt/system32/cmd.exe?/c+dir

    GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir

    GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir

    GET /scripts/root.exe?/c+dir

    GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir

    GET /MSADC/root.exe?/c+dir

    GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt /system32/cmd.exe?/c+dir

  • Vérifier le contenu des pages mises en ligne et notamment la présence de la ligne javascript suivante :

    windows.open(''readme.eml'',null,''resizable=no,top=6000,left=6000'')

  • Vérifier l'état des partages réseau et la présence d'un compte guest sous Windows NT et 2000 ;
  • Le ver ajoute à la ligne shell=, dans le fichier system.ini, l'entrée load.exe :

    shell=explorer.exe load.exe -dontrunold

  • Les clés suivantes sont également ajoutées ou modifiées dans la base de registre :
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\currentVersion\Explorer\advanced \HideFileExt
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\currentVersion\Explorer\advanced \Hidden
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\currentVersion\Explorer\advanced \SuperHidden
    • Sous Windows NT et 2000 la clé suivante est supprimée :

      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\lanmanserver

      \Share\Security

  • Vérifier la présence du fichier admin.dll à la racine des disques ;
  • Le virus modifie des fichiers légitimes ou ajoute des exécutables :
    • ADMIN.DLL
    • LOAD.EXE
    • MMC.EXE
    • README.EXE
    • RICHED20.DLL
    • MEP*.TMP.EXE

Contournement provisoire

  • Placer les paramètres de sécurité de Internet Explorer en mode élevé et désactiver les javascripts et le téléchargement automatique de fichiers ;
  • Filtrer le port 69/UDP (TFTP) au niveau du garde barrière ;
  • Filtrer les ports 135 à 139/TCP-UDP (Partage NETBIOS) au niveau du garde barrière ;
  • Désactiver les serveurs IIS (installé par défaut) s'ils ne sont pas indispensables.

Solution

Documentation

Bulletin du Cert CC :

http://www.cert.org/body/advisories/CA200126_FA200126.html

Gestion détaillée du document

    le 19 septembre 2001
    version initiale.