Nimda.L es un sofisticado y destructivo virus binario, originario de la China, infector de archivos ejecutables reportado el 16 de Junio del 2003, que a diferencia de sus predecesores Nimda.B, Nimda.C o Nimda.D, por ejemplo, no se propaga masivamente por correo ni aprovecha ninguna vulnerabilidad de sus previas variantes. Ingresa por diversos servicios de Internet tales como:
Páginas web infectadas que descargan el archivo principal o “dropper”.
Redes LAN con recursos compartidos.
Aunque nada impediría que se propagara por otros servicios.
El virus se propaga simultáneamente con 2 archivos de nombres _setup.exe y riched20.dll, los cuales facilitan su difusión cuando existen archivos con extensión .DOC en las redes con recursos compartidos.
Infecta todos los archivos con extensión .EXE que encuentre en las llaves de registro o en las unidades de red con recursos compartidos, al insertar su código viral en la cabecera de los mismos y a los cuales agrega al final su archivo infectado con extensión .DLL
Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en lenguaje binario y Visual C++, varía de extensión, no se encuentra comprimido y tiene los siguientes componentes:
El virus en sí: _setup.exe
El archivo riched20.dll: que contiene el código que activa el _setup.exe.
Al ejecutarse el virus en el disco, se instala en la memoria y libera su archivo infector anfitrión en el directorio en uso, alternado el nombre del archivo infectado pero con la extensión [espacio].EXE, por ejemplo EXPLORER.EXE será re-nombrado como EXPLORER .EXE, con los atributos de Archivo, Sistema y Oculto e inmediatamente activa al virus infector.
En cambio, si el virus se ejecuta en rutas de Red o carpetas temporales y no en discos fijos, entonces libera el archivo anfitrión en la carpeta Temporal de Windows con el nombre mep????.tmp.exe, que también tiene los atributos de Archivo, Sistema y Oculto.
El valor ???? representa cualquier número decimal de 4 caracteres. Ejemplo: mep4C74.tmp.exe.
[…]
Infecta todos los archivos .EXE que encuentre en las carpetas compartidas existentes.
Del mismo modo en Windows NT/Me/2000, el virus crea un hilo remoto en el Internet Explorer, al cual contiene el código viral de esta especie y a causa de ello no se podrá eliminar el virus de la memoria, a menos que el Internet Explorer sea re-iniciado.
Finalmente, con el objeto de prevenir múltiples infecciones de sí mismo en la memoria, el virus crea los siguientes Mutex:
kkklgyfguMyppp
kkklgyfguMyppp2
En Windows 95/98, el virus se oculta a sí mismo del comando CTRL-ALT-DEL, al auto-registrarse como un proceso de servicio.
Sus payloads son los siguientes:
Infecta los sistemas en forma directamente con 2 archivos y se instala en la memoria.
También se puede propagar a través de otros servicios de Internet, excepto del envío de correo.
Se propaga e infecta a través de Redes Locales con recursos compartidos y estaciones remotas.
Infecta y renombra los archivos con extensión .EXE y .DOC tanto en la cabecera como en la cola de los mismos, agregándoles un espacio a los archivos .EXE antes de su extensión.
Trunca los archivos infectados.
Genera una cuenta “Guest” con privilegios de Administrador y sin Password, comprometiendo la seguridad del sistema.
Cambia los atributos de la unidades de disco de C: a C$ desde la C: a la Z:
También cambia el atributo de las carpetas compartidas con el atributo de acceso a lectura-escritura y borra sus Claves de Acceso.
Trunca los sistemas operativos infectados, siendo necesario desinfectarlos y re-instalar el sistema y los programas que tengan archivos con extensión .EXE
PER ANTIVIRUS® versión 8.1 actualizado al 16 de Junio del 2003, detecta y elimina eficientemente este virus.
Texto extraido de: http://www.perantivirus.com
