Risques

  • Accès aux données
  • Compromission
  • Déni de service
  • Exécution de code arbitraire
  • Installation de portes dérobées
  • Virus

Systèmes affectés

Microsoft Windows 95, 98, ME, NT, et 2000.

Résumé

Un nouveau ver se propage en exploitant des vulnérabilités connues sous Microsoft Windows.

Description

Le ver NIMDA s'attaque aux serveurs IIS ainsi qu'aux postes clients utilisant Internet Explorer et/ou Outlook.

Il s'installe sur les serveurs par le biais des vulnérabilités suivantes :

  • Failles des serveurs IIS décrites dans les avis CERTA-2000-AVI-028, CERTA-2001-AVI-053 et CERTA-2000-AVI-061 ;
  • Réutilisation d'une porte dérobée préalablement installée par le ver Code Red II ou le ver sadmind (Réf : CERTA-2001-ALE-008-003 et CERTA-2001-ALE-007)

Une fois installé, le ver modifie tous les fichiers web (HTML et ASP) en y incorporant un script « javascript » dans le but d'infecter les visiteurs du site contaminé (Exploitation d'une vulnérabilité de Windows Média Player, Réf : CERTA-2001-AVI-041).

Sur les postes clients, le ver se transmet par la messagerie en expédiant aux destinataires du carnet d'adresses Outlook un message accompagné d'une pièce jointe README.EXE ou lors de la consultation d'une page Web infectée par le code javascript précédemment cité.

Lors de l'infection, le ver active le partage masqué des disques (exemple : partage de C sous C$).

  • Sous Windows 9x et Me : partage total sans mot de passe ;
  • Sous Windows NT et 2000 : création d'un compte guest dans le groupe admin.

Ce partage ne devient effectif qu'en cas de redémarrage de la machine infectée.

Détection

  • Vérifier les extraits des logs au niveau des serveurs IIS.

    Exemples de log :

    GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir

    GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir

    GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir

    GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir

    GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir

    GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir

    GET /scripts/root.exe?/c+dir

    GET /MSADC/root.exe?/c+dir

    GET /c/winnt/system32/cmd.exe?/c+dir

    GET /d/winnt/system32/cmd.exe?/c+dir

    GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir

    GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir

    GET /scripts/root.exe?/c+dir

    GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir

    GET /MSADC/root.exe?/c+dir

    GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt /system32/cmd.exe?/c+dir

  • Vérifier le contenu des pages mises en ligne et notamment la présence de la ligne javascript suivante :

    windows.open(''readme.eml'',null,''resizable=no,top=6000,left=6000'')

  • Vérifier l'état des partages réseau et la présence d'un compte guest sous Windows NT et 2000 ;

  • Le ver ajoute à la ligne shell=, dans le fichier system.ini, l'entrée load.exe :

    shell=explorer.exe load.exe -dontrunold

  • Les clés suivantes sont également ajoutées ou modifiées dans la base de registre :

    • HKEY_CURRENT_USER\Software\Microsoft\Windows\currentVersion\Explorer\advanced \HideFileExt

    • HKEY_CURRENT_USER\Software\Microsoft\Windows\currentVersion\Explorer\advanced \Hidden

    • HKEY_CURRENT_USER\Software\Microsoft\Windows\currentVersion\Explorer\advanced \SuperHidden

    • Sous Windows NT et 2000 la clé suivante est supprimée :

      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\lanmanserver

      \Share\Security

  • Vérifier la présence du fichier admin.dll à la racine des disques ;

  • Le virus modifie des fichiers légitimes ou ajoute des exécutables :

    • ADMIN.DLL
    • LOAD.EXE
    • MMC.EXE
    • README.EXE
    • RICHED20.DLL
    • MEP*.TMP.EXE

Contournement provisoire

  • Placer les paramètres de sécurité de Internet Explorer en mode élevé et désactiver les javascripts et le téléchargement automatique de fichiers ;
  • Filtrer le port 69/UDP (TFTP) au niveau du garde barrière ;
  • Filtrer les ports 135 à 139/TCP-UDP (Partage NETBIOS) au niveau du garde barrière ;
  • Désactiver les serveurs IIS (installé par défaut) s'ils ne sont pas indispensables.

Solution

  • Mettre à jour vos antivirus :

    • Sophos :

      http://www.sophos.com/virusinfo/analyses/w32nimdaa.html
      
    • NAI :

      http://www.vil.nai.com/vil/virusSummary.asp?virus_k=99209
      
    • F-Secure :

      http://www.f-secure.com/v-descs/nimda.shtml
      
    • Symantec :

      http://www.sarc.com/avcenter/venc/data/w32.nimda.a@mm.html
      
    • Les éditeurs proposent également des outils (non testés) afin de détecter et d'éradiquer ce ver. Exemple :

      http://download.nai.com/products/mcafee-avert/nimda2.exe
      
  • Mettre à jour vos serveurs IIS :

    http://www.microsoft.com/technet/security/bulletin/MS01-044.asp
    
  • Mettre à jour Internet Explorer :

    http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
    

Documentation