{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"

Microsoft Windows 95, 98, ME, NT, et 2000.

","closed_at":"2001-09-19","content":"## Description\n\nLe ver NIMDA s'attaque aux serveurs IIS ainsi qu'aux postes clients\nutilisant Internet Explorer et/ou Outlook. \n \n\nIl s'installe sur les serveurs par le biais des vuln\u00e9rabilit\u00e9s suivantes\n:\n\n- Failles des serveurs IIS d\u00e9crites dans les avis CERTA-2000-AVI-028,\n CERTA-2001-AVI-053 et CERTA-2000-AVI-061 ;\n- R\u00e9utilisation d'une porte d\u00e9rob\u00e9e pr\u00e9alablement install\u00e9e par le ver\n Code Red II ou le ver sadmind (R\u00e9f : CERTA-2001-ALE-008-003 et\n CERTA-2001-ALE-007)\n\nUne fois install\u00e9, le ver modifie tous les fichiers web (HTML et ASP) en\ny incorporant un script \u00ab javascript \u00bb dans le but d'infecter les\nvisiteurs du site contamin\u00e9 (Exploitation d'une vuln\u00e9rabilit\u00e9 de Windows\nM\u00e9dia Player, R\u00e9f : CERTA-2001-AVI-041). \n \n\nSur les postes clients, le ver se transmet par la messagerie en\nexp\u00e9diant aux destinataires du carnet d'adresses Outlook un message\naccompagn\u00e9 d'une pi\u00e8ce jointe README.EXE ou lors de la consultation\nd'une page Web infect\u00e9e par le code javascript pr\u00e9c\u00e9demment cit\u00e9. \n \n\nLors de l'infection, le ver active le partage masqu\u00e9 des disques\n(exemple : partage de C sous C\\$).\n\n- Sous Windows 9x et Me : partage total sans mot de passe ;\n- Sous Windows NT et 2000 : cr\u00e9ation d'un compte guest dans le groupe\n admin.\n\nCe partage ne devient effectif qu'en cas de red\u00e9marrage de la machine\ninfect\u00e9e.\n\n## D\u00e9tection\n\n- V\u00e9rifier les extraits des logs au niveau des serveurs IIS.\n\n Exemples de log :\n\n `GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir`\n\n `GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir`\n\n `GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir`\n\n `GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir`\n\n `GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir`\n\n `GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir`\n\n `GET /scripts/root.exe?/c+dir`\n\n `GET /MSADC/root.exe?/c+dir`\n\n `GET /c/winnt/system32/cmd.exe?/c+dir`\n\n `GET /d/winnt/system32/cmd.exe?/c+dir`\n\n `GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir`\n\n `GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir`\n\n `GET /scripts/root.exe?/c+dir`\n\n `GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir`\n\n `GET /MSADC/root.exe?/c+dir`\n\n `GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt`\n `/system32/cmd.exe?/c+dir`\n\n- V\u00e9rifier le contenu des pages mises en ligne et notamment la\n pr\u00e9sence de la ligne javascript suivante :\n\n windows.open(''readme.eml'',null,''resizable=no,top=6000,left=6000'')\n\n- V\u00e9rifier l'\u00e9tat des partages r\u00e9seau et la pr\u00e9sence d'un compte guest\n sous Windows NT et 2000 ;\n\n- Le ver ajoute \u00e0 la ligne shell=, dans le fichier system.ini,\n l'entr\u00e9e load.exe :\n\n shell=explorer.exe load.exe -dontrunold\n\n- Les cl\u00e9s suivantes sont \u00e9galement ajout\u00e9es ou modifi\u00e9es dans la base\n de registre :\n - `HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\currentVersion\\Explorer\\advanced`\n `\\HideFileExt`\n\n - `HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\currentVersion\\Explorer\\advanced`\n `\\Hidden`\n\n - `HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\currentVersion\\Explorer\\advanced`\n `\\SuperHidden`\n\n - Sous Windows NT et 2000 la cl\u00e9 suivante est supprim\u00e9e :\n\n `HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Services\\lanmanserver`\n\n `\\Share\\Security`\n\n- V\u00e9rifier la pr\u00e9sence du fichier admin.dll \u00e0 la racine des disques ;\n\n- Le virus modifie des fichiers l\u00e9gitimes ou ajoute des ex\u00e9cutables :\n - ADMIN.DLL\n - LOAD.EXE\n - MMC.EXE\n - README.EXE\n - RICHED20.DLL\n - MEP\\*.TMP.EXE\n\n## Contournement provisoire\n\n- Placer les param\u00e8tres de s\u00e9curit\u00e9 de Internet Explorer en mode \u00e9lev\u00e9\n et d\u00e9sactiver les javascripts et le t\u00e9l\u00e9chargement automatique de\n fichiers ;\n- Filtrer le port 69/UDP (TFTP) au niveau du garde barri\u00e8re ;\n- Filtrer les ports 135 \u00e0 139/TCP-UDP (Partage NETBIOS) au niveau du\n garde barri\u00e8re ;\n- D\u00e9sactiver les serveurs IIS (install\u00e9 par d\u00e9faut) s'ils ne sont pas\n indispensables.\n\n## Solution\n\n- Mettre \u00e0 jour vos antivirus :\n - Sophos :\n\n http://www.sophos.com/virusinfo/analyses/w32nimdaa.html\n\n - NAI :\n\n http://www.vil.nai.com/vil/virusSummary.asp?virus_k=99209\n\n - F-Secure :\n\n http://www.f-secure.com/v-descs/nimda.shtml\n\n - Symantec :\n\n http://www.sarc.com/avcenter/venc/data/w32.nimda.a@mm.html\n\n - Les \u00e9diteurs proposent \u00e9galement des outils (non test\u00e9s) afin de\n d\u00e9tecter et d'\u00e9radiquer ce ver. Exemple :\n\n http://download.nai.com/products/mcafee-avert/nimda2.exe\n\n- Mettre \u00e0 jour vos serveurs IIS :\n\n http://www.microsoft.com/technet/security/bulletin/MS01-044.asp\n\n- Mettre \u00e0 jour Internet Explorer :\n\n http://www.microsoft.com/technet/security/bulletin/MS01-020.asp\n","cves":[],"links":[{"title":"Bulletin du Cert CC :","url":"http://www.cert.org/body/advisories/CA200126_FA200126.html"}],"reference":"CERTA-2001-ALE-013","revisions":[{"description":"version initiale.","revision_date":"2001-09-19T00:00:00.000000"}],"risks":[{"description":"Virus"},{"description":"Compromission"},{"description":"Installation de portes d\u00e9rob\u00e9es"},{"description":"Acc\u00e8s aux donn\u00e9es"},{"description":"Ex\u00e9cution de code arbitraire"},{"description":"D\u00e9ni de service"}],"summary":"Un nouveau ver se propage en exploitant des vuln\u00e9rabilit\u00e9s connues sous\nMicrosoft Windows.\n","title":"Propagation du ver/virus NIMDA (Concept Virus)","vendor_advisories":[{"published_at":null,"title":"FIRST","url":null},{"published_at":null,"title":"Avis CA-2001-26 du Cert CC","url":null},{"published_at":null,"title":"Sophos","url":null}]}