Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2001-ALE-013

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 19 septembre 2001
No CERTA-2001-ALE-013

Affaire suivie par :

CERTA

BULLETIN D'ALERTE DU CERTA

Objet : Propagation du ver/virus NIMDA (Concept Virus)


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2001-ALE-013

Gestion du document


Tableau 1: gestion du document
Référence CERTA-2001-ALE-013
Titre Propagation du ver/virus NIMDA (Concept Virus)
Date de la première version 19 septembre 2001
Date de la dernière version -
Source(s) Avis CA-2001-26 du Cert CC
  FIRST
  Sophos
Pièce(s) jointe(s) Aucune

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

  • Exécution de code arbitraire ;
  • Accès aux données ;
  • Virus ;
  • Déni de service ;
  • Compromission ;
  • Installation de portes dérobées.

2 Systèmes affectés

Microsoft Windows 95, 98, ME, NT, et 2000.

3 Résumé

Un nouveau ver se propage en exploitant des vulnérabilités connues sous Microsoft Windows.

4 Description

Le ver NIMDA s'attaque aux serveurs IIS ainsi qu'aux postes clients utilisant Internet Explorer et/ou Outlook.

Il s'installe sur les serveurs par le biais des vulnérabilités suivantes :

  • Failles des serveurs IIS décrites dans les avis CERTA-2000-AVI-028, CERTA-2001-AVI-053 et CERTA-2000-AVI-061 ;
  • Réutilisation d'une porte dérobée préalablement installée par le ver Code Red II ou le ver sadmind (Réf : CERTA-2001-ALE-008-003 et CERTA-2001-ALE-007)

Une fois installé, le ver modifie tous les fichiers web (HTML et ASP) en y incorporant un script « javascript » dans le but d'infecter les visiteurs du site contaminé (Exploitation d'une vulnérabilité de Windows Média Player, Réf : CERTA-2001-AVI-041).

Sur les postes clients, le ver se transmet par la messagerie en expédiant aux destinataires du carnet d'adresses Outlook un message accompagné d'une pièce jointe README.EXE ou lors de la consultation d'une page Web infectée par le code javascript précédemment cité.

Lors de l'infection, le ver active le partage masqué des disques (exemple : partage de C sous C$).

  • Sous Windows 9x et Me : partage total sans mot de passe ;
  • Sous Windows NT et 2000 : création d'un compte guest dans le groupe admin.

Ce partage ne devient effectif qu'en cas de redémarrage de la machine infectée.

5 Détection

  • Vérifier les extraits des logs au niveau des serveurs IIS.

    Exemples de log :

    GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir

    GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir

    GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir

    GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir

    GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir

    GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir

    GET /scripts/root.exe?/c+dir

    GET /MSADC/root.exe?/c+dir

    GET /c/winnt/system32/cmd.exe?/c+dir

    GET /d/winnt/system32/cmd.exe?/c+dir

    GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir

    GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir

    GET /scripts/root.exe?/c+dir

    GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir

    GET /MSADC/root.exe?/c+dir

    GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt /system32/cmd.exe?/c+dir

  • Vérifier le contenu des pages mises en ligne et notamment la présence de la ligne javascript suivante :

    windows.open(''readme.eml'',null,''resizable=no,top=6000,left=6000'')

  • Vérifier l'état des partages réseau et la présence d'un compte guest sous Windows NT et 2000 ;
  • Le ver ajoute à la ligne shell=, dans le fichier system.ini, l'entrée load.exe :

    shell=explorer.exe load.exe -dontrunold

  • Les clés suivantes sont également ajoutées ou modifiées dans la base de registre :
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\currentVersion\Explorer\advanced \HideFileExt
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\currentVersion\Explorer\advanced \Hidden
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\currentVersion\Explorer\advanced \SuperHidden
    • Sous Windows NT et 2000 la clé suivante est supprimée :

      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\lanmanserver

      \Share\Security

  • Vérifier la présence du fichier admin.dll à la racine des disques ;
  • Le virus modifie des fichiers légitimes ou ajoute des exécutables :
    • ADMIN.DLL
    • LOAD.EXE
    • MMC.EXE
    • README.EXE
    • RICHED20.DLL
    • MEP*.TMP.EXE

6 Contournement provisoire

  • Placer les paramètres de sécurité de Internet Explorer en mode élevé et désactiver les javascripts et le téléchargement automatique de fichiers ;
  • Filtrer le port 69/UDP (TFTP) au niveau du garde barrière ;
  • Filtrer les ports 135 à 139/TCP-UDP (Partage NETBIOS) au niveau du garde barrière ;
  • Désactiver les serveurs IIS (installé par défaut) s'ils ne sont pas indispensables.

7 Solution

8 Documentation

Bulletin du Cert CC :

http://www.cert.org/body/advisories/CA200126_FA200126.html

Gestion détaillée du document

19 septembre 2001
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-04-24