S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 19 septembre
2001
No CERTA-2001-ALE-013 |
Affaire suivie par :
CERTA
BULLETIN D'ALERTE DU CERTA
Objet : Propagation du ver/virus NIMDA
(Concept Virus)
Tableau 1: gestion du document
| Référence |
CERTA-2001-ALE-013 |
| Titre |
Propagation du ver/virus NIMDA
(Concept Virus) |
| Date de la première
version |
19 septembre 2001 |
| Date de la dernière
version |
- |
| Source(s) |
Avis CA-2001-26 du Cert CC |
| |
FIRST |
| |
Sophos |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Exécution de code arbitraire ;
- Accès aux données ;
- Virus ;
- Déni de service ;
- Compromission ;
- Installation de portes dérobées.
Microsoft Windows 95, 98, ME, NT, et 2000.
Un nouveau ver se propage en exploitant des
vulnérabilités connues sous Microsoft
Windows.
Le ver NIMDA s'attaque aux serveurs IIS ainsi qu'aux postes
clients utilisant Internet Explorer et/ou Outlook.
Il s'installe sur les serveurs par le biais des
vulnérabilités suivantes :
- Failles des serveurs IIS décrites dans les avis
CERTA-2000-AVI-028, CERTA-2001-AVI-053 et CERTA-2000-AVI-061
;
- Réutilisation d'une porte dérobée
préalablement installée par le ver Code Red II
ou le ver sadmind (Réf : CERTA-2001-ALE-008-003 et
CERTA-2001-ALE-007)
Une fois installé, le ver modifie tous les fichiers
web (HTML et ASP) en y incorporant un script « javascript
» dans le but d'infecter les visiteurs du site
contaminé (Exploitation d'une
vulnérabilité de Windows Média Player,
Réf : CERTA-2001-AVI-041).
Sur les postes clients, le ver se transmet par la messagerie
en expédiant aux destinataires du carnet d'adresses
Outlook un message accompagné d'une pièce jointe
README.EXE ou lors de la consultation d'une page Web
infectée par le code javascript
précédemment cité.
Lors de l'infection, le ver active le partage masqué
des disques (exemple : partage de C sous C$).
- Sous Windows 9x et Me : partage total sans mot de passe
;
- Sous Windows NT et 2000 : création d'un compte
guest dans le groupe admin.
Ce partage ne devient effectif qu'en cas de
redémarrage de la machine infectée.
-
Vérifier les extraits des logs au niveau des
serveurs IIS.
Exemples de log :
GET
/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir
GET
/scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir
GET
/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir
GET
/scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir
GET
/scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir
GET
/scripts/..%252f../winnt/system32/cmd.exe?/c+dir
GET /scripts/root.exe?/c+dir
GET /MSADC/root.exe?/c+dir
GET /c/winnt/system32/cmd.exe?/c+dir
GET /d/winnt/system32/cmd.exe?/c+dir
GET
/scripts/..%255c../winnt/system32/cmd.exe?/c+dir
GET
/_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir
GET /scripts/root.exe?/c+dir
GET
/_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir
GET /MSADC/root.exe?/c+dir
GET
/msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt
/system32/cmd.exe?/c+dir
-
Vérifier le contenu des pages mises en ligne et
notamment la présence de la ligne javascript
suivante :
windows.open(''readme.eml'',null,''resizable=no,top=6000,left=6000'')
- Vérifier l'état des partages réseau
et la présence d'un compte guest sous Windows
NT et 2000 ;
-
Le ver ajoute à la ligne shell=, dans le
fichier system.ini, l'entrée load.exe :
shell=explorer.exe load.exe -dontrunold
-
Les clés suivantes sont également
ajoutées ou modifiées dans la base de
registre :
- Vérifier la présence du fichier
admin.dll à la racine des disques ;
-
Le virus modifie des fichiers légitimes ou ajoute
des exécutables :
- ADMIN.DLL
- LOAD.EXE
- MMC.EXE
- README.EXE
- RICHED20.DLL
- MEP*.TMP.EXE
- Placer les paramètres de sécurité de
Internet Explorer en mode élevé et
désactiver les javascripts et le
téléchargement automatique de fichiers ;
- Filtrer le port 69/UDP (TFTP) au niveau du garde
barrière ;
- Filtrer les ports 135 à 139/TCP-UDP (Partage
NETBIOS) au niveau du garde barrière ;
- Désactiver les serveurs IIS (installé par
défaut) s'ils ne sont pas indispensables.
Bulletin du Cert CC :
http://www.cert.org/body/advisories/CA200126_FA200126.html
- 19 septembre 2001
- version initiale.
CERTA
2012-01-04
|
)
