Não resistiu à tentação e abriu aquele arquivo readme.exe que chegou junto com um e-mail, e a máquina acabou infectada? O jeito é atualizar o antivírus e seguir algumas instruções para se livrar do Nimda. As empresas de antivírus já liberaram vacinas contra a praga virtual em seus sites. Além dos arquivos de atualização (DAT files) do antivírus, a Network Associates, fabricante do McAfee ViruScan, recomenda aos internautas que baixem um arquivo de correção da Microsoft para o Internet Explorer. O Nimda explora falhas de segurança do IIS (Internet Information Server) e das versões 5.01 e 5.5 (SP1) do Internet Explorer e contamina arquivos HTML. O pacote de correção evita que o usuário do Outlook Express com o recurso de leitura de e-mail em formato html habilitado tenha o micro infectado. Usuários domésticos podem clicar aqui para baixar a correção do Microsoft. Administradores de rede com IIS, cliquem aqui para baixar a correção Mesmo copiando o arquivo de correção, o internauta deve manter seu software antivírus atualizado. Veja abaixo os endereços de download dos três maiores fabricantes: ViruScan (McAfee) Norton Antivirus (Symantec) PC-cillin 2001 (Trend Micro) Também é possível livrar seu computador do Nimda sem pagar nada. Há ferrmentas gratuitas na rede criadas especificamente para isso. A revista Info Exame fez um levantamento de algumas delas. Clique aqui para conhecê-las.

Descrição Técnica

Infecção via Web Server O W32.Nimda.A@mm tenta infectar servidores da web Microsoft IIS sem patch. No Microsoft IIS 4.0 e 5.0, é possível construir um URL que levaria o IIS a navegar para qualquer pasta desejada na unidade lógica que contém a estrutura da pasta da web e acessar os seus arquivos. Um patch e informações referentes a esta exploração podem encontrados em http://www.microsoft.com/technet/security/bulletin/ms00-078.asp. A exploração bem sucedida da Vulnerabilidade de Passagem de Diretório dá ao atacante a capacidade de instalar e executar o código, assim como adicionar, mudar ou excluir arquivos ou páginas da web no servidor comprometido. As limitações da vulnerabilidade original incluem: A configuração do servidor. A vulnerabilidade permite acessar somente aqueles arquivos que residirem na mesma unidade lógica da pasta da Web. Por exemplo, se um administrador da Web configurou o servidor de forma que os arquivos do sistema operacional tenham sido instalados na unidade C e as pastas da Web tenham sido instaladas na unidade D, o atacante seria incapaz de usar a vulnerabilidade para acessar os arquivos do sistema operacional. O atacante precisa estar conectado de forma interativa ao servidor. Os privilégios adquiridos seriam somente os de um usuário conectado localmente. A vulnerabilidade permitiria ao usuário malicioso agir somente no contexto da conta IUSR_machinename. Entretanto, ao usar o worm W32.Nimda.A@mm como mecanismo de entrega, o atacante pode comprometer remotamente um servidor IIS vulnerável e, uma vez comprometido, criar uma conta local no servidor de destino com privilégios de administrador, independentemente da unidade em que o servidor IIS está instalado. O worm usa técnicas de passagem de diretório para acessar o cmd.exe em servidores IIS sem patch. O worm também tenta usar primeiramente os servidores comprometidos pelo CodeRed II para propagar e acessar o root.exe a partir do diretório Inetpub/scripts. O worm procura por servidores da web que usam endereços de IP gerados aleatoriamente. Usando esta exploração, o worm se copia para o servidor da web como admin.dll via TFTP. Os equipamentos infectados criam um servidor TFTP aguardando (porta 69/UDP) para transferir cópias do worm. Este arquivo é então executado no servidor da web e copiado para múltiplos locais. Adicionalmente a essa exploração, o worm tenta explorar servidores já comprometidos usando arquivos root.ext ou cmd.exe que estão localizados em diretórios web executados remotamente. O worm tenta modificar, com JavaScript, arquivos nomeados como default, index, main ou readme ou então arquivos com extensão .htm, .html., e .asp. O JavaScrip apresenta o arquivo Readme.eml (criado pelo worm) para os visitantes que abrem páginas infectadas. Readme.eml é um arquivo de email do Outlook Express com o worm anexo. A mensagem email utiliza MIME exploit. Portanto, um computador pode ser infectado apenas ao acessar um página web infectada. Modificações do sistema Quando executado, o worm determina a partir de onde está sendo executado. Em seguida, o worm sobrescreve o MMC.EXE no Diretório do Windows ou cria uma cópia de si próprio no Diretório Temporários do Windows. Então, o worm infecta executáveis, cria arquivos dele mesmo como .eml e .nws e efetua uma cópia como Riched20.dll em pastas (folders) que contém arquivos .doc no drive local. O worm procura por arquivos em paths listados nas seguintes chaves de registro: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders O worm captura o sistema modificando o arquivo system.ini como segue: Shell = explorer.exe load.exe -dontrunold Ele também substitui o arquivo Riched20.dll. O Riched20.dll é um .DLL legítimo do Windows usado por aplicativos tais como o Microsoft Word. Ao substituir esta DLL, o worm é executado toda vez que aplicativos tais como o Microsoft Word são executados. O worm se copia como arquivo: %Windows\System%\load.exe NOTA: %Windows\System% é uma variável. O worm localiza a pasta \Windows\System (por padrão é C:\Windows\System) e se copia para esse local. Em seguida, o worm cria compartilhamentos de rede aberta para todas as unidades no computador, modificando a chave de registro: HKLM\Software\Microsoft\Windows\CurrentVersion\Network\LanMan\[C$ -> Z$] É necessário reinicializar o computador para que estas configurações sejam efetivadas. O worm procura por todos os compartilhamentos abertos na rede iterando através da Rede Próxima. Todos os arquivos de compartilhamentos de rede aberta são examinados quando há uma possível infecção. Todos os arquivos .EXE são infectados pelo worm, exceto os arquivos WINZIP32.EXE. Os arquivos .EML e .NWS, copiados para o compartilhamento de rede aberta e o worm se copia como riched20.dll para qualquer diretório com arquivos .DOC. O worm altera as configurações do Explorer para não mostrar arquivos ocultos e extensões de arquivos conhecidas. O worm adicionar o usuário "guest" dentro dos grupos "Guests" e "Administrators". Isso dá à conta "Guest" os privilégios do Administrador. Adicionalmente, o worm compartilha ativamente C$ = C:\ No reboot is required. Envio de E-Mail em Grande Escala O worm inicia a rotina de envio em grande escala, primeiro procurando por endereços de e-mail, verificando em arquivos locais .htm e html e também usando funções MAPI para acessar mensagens na caixa de entrada dos clientes de e-mail. Quaisquer clientes MAPI, inclusive o Microsoft Outlook e Outlook Express, podem ser afetados. Esses endereços coletados serão usados não somente no campo Para, como também no campo De. Assim, as mensagens não parecerão estar vindo do usuário infectado. O worm envia os e-mails de um servidor SMTP próprio, usando uma entrada DNS configurada para obter um registro de servidor de correio (registro MX). Quando o worm é recebido por e-mail, ele explora uma exposição do MIME, já conhecida há tempos, para se auto-executar. Se um patch foi utilizado para corrigir essa exposição do sistema, o worm não conseguirá se executar. Informações sobre essa exposição podem ser encontradas em http://www.microsoft.com/technet/security/bulletin/MS01-020.asp Infectando Executáveis O worm também tenta infectar arquivos .EXE. Primeiro, o worm verifica a já existência de arquivos infectados. Se não existem arquivos infectados, o worm faz um cópia dele mesmo em um diretório temporário. O arquivo da vítima é incorporado dentro da cópia. Esta nova cópia, infectada, é então copiada sobre a versão original do arquivo. Os arquivos executáveis infectados terão aproximadamente 57344 bytes. Quando um arquivo infectado é executado, o worm extrairá o arquivo original (limpo) para um folder temporário que será executado ao mesmo tempo. Assim, pode-se não notar que o executável foi contaminado. Enquanto é executado, o worm pode tentar excluir cópias de si próprio. Se o arquivo está em uso ou bloqueado, o worm criará o WININIT.INI com uma entrada para se excluir por reinicialização. Quando estiver infectando arquivos, o worm poderá criar, na pasta Temporária do Windows, arquivos temporários como: mep[nr][nr][letter][nr].TMP.exe mep[nr][nr][letter][nr].TMP Ambos serão ocultos e de sistema. As portas utilizadas por este worm estão listadas abaixo. Note que são portas padrão. TCP 25 (SMTP) - utilizada para enviar email para os alvos com endereços retirados do equipamento comprometido. TCP 69 (TFTP) - abre a porta 69/udp para a transferência TFTP do admin.dll durante a infecção IIS. Como parte deste protocolo faz conexões de saída para transferir os arquivos. TCP 80 (HTTP) - utiliza esta porta para validar alvos: servidores IIS vulneráveis. TCP 137-139, 445 (NETBIOS) - utilizada para a transmissão do worm. Adicionalmente, o worm monitora conexões com uma seqüência particular de bytes e então abre uma porta especificada para aquela solicitação. Esta porta não é restrita para um "range" particular. O worm contém bugs e pode consumir muitos recursos. Portanto, nem todas as ações ocorrerão e pode ser observada instabilidade do sistema. Instruções de remoção O Symantec Security Response criou uma ferramenta para remover infecções causadas pelo W32 Nimda.A@mm. Por favor, clique aqui (PLEASE, LINK THIS TEXT TO OUR PORTUGUESE INFORMATION OF REMOVAL TOOL) para acessar informações sobre a ferramenta de remoção. NOTA: Uma vez infectado pelo W32.Nimda.A@mm, é possível que o seu sistema tenha sido acessado remotamente por um usuário não autorizado. Por esta razão é impossível garantir a integridade de um sistema infectado. O usuário remoto pode ter feito alterações no seu sistema, incluindo, mas não limitado, aos seguintes itens: Roubo ou alteração de senhas ou arquivos de senhas Instalação de software de conexão remota, também conhecidos como backdoors Instalação de software para o registro (log) de digitação (ou ações do teclado) Configuração das regras de firewall Roubo de número de cartões de crédito, informações bancárias, dados pessoais e outras informações privadas. Exclusão ou alteração de arquivos Envio, através de email, de material inapropriado ou até mesmo material para incriminar a vítima. Alteração de direitos de acesso a determinadas contas ou arquivos. Exclusão de informações dos "arquivos de log" (ou registros) para não deixar evidências sobre a invasão. Se você precisa garantir a segurança da sua empresa ou organização, você precisa reinstalar o sistema operacional, restaurar arquivos de backup efetuados antes da infecção e alterar todas as senhas que estavam sendo utilizadas no computador infectado ou que poderiam ser acessadas através dele. Esta é a única forma de garantir que os sistemas estarão seguros. Para mais informações sobre segurança na sua empresa ou organização, entre em contato com o administrador de sistemas. Instruções para a remoção manual Se você não pode ter acesso à ferramenta de remoção da Symantec ou se ela não está funcionando na sua situação particular, siga os passos abaixo: Execute o LiveUpdate para se certificar que possui as mais recentes definições de vírus. Faça uma das opções:   2.1 Se estiver executando Windows NT/2000/XP vá para o tópico (3)   2.2 Se estiver executando Windows 95/98/Me edite o arquivo Windows.INI conforme indicado abaixo     2.2.1 Clique START (INICIAR) e clique RUN (EXECUTAR)     2.2.2 Digite as instruções abaixo e clique OK edit c:\windows\system.ini O Editor MS-DOS abrirá NOTA: Se o Windows estiver instalado em uma localização diferente, faça as alterações necessárias na linha de comando descrita acima.     2.2.3 Localize a linha que inicia com: shell=\     2.2.4 Posicione o cursos logo após o sinal de igual     2.2.5 Pressione SHIFT+END para selecionar todo o texto à direita do sinal de igual e pressione DELETE     2.2.6 Digite o seguinte texto explorer.exe A linha deve se parecer com a linha descrita abaixo: shell=explorer.exe Nota: Alguns computadores podem ter uma entrada diferente de "explorer.exe" depois de "shell=". Se este for o seu caso, e você estiver executando um shell alternativo, mantenha a linha shell=exlorer.exe ao menos por enquanto. Você poderá alterar esta linha novamente para incluir o seu "shell" de preferência quando terminar este procedimento.     2.2.7 Clique FILE (ARQUIVO), clique EXIT (SAIR) e clique YES (SIM) quando a caixa de diálogo aparecer com a pergunta se deseja salvas as alterações. Reinicialize o seu computador NOTA: Ao reinicializar o seu computador, é possível que arquivos infectados serão encontrados. Recomendamos que você tente recuperar o arquivo infectado. Utilize a QUARENTENA pra eventuais arquivos que não possam ser recuperados. Inicie o Norton AntiVirus e tenha certeza que ele esteja configurado para verificar todos os arquivos. Para mais informações sobre esta configuração do seu Norton AntiVirus, veja o tópico abaixo "Como configurar o Norton AntiVirus para verificar todos os arquivos". Verifique o seu sistema com o Norton AntiVirus. Para instruções sobre como fazer uma verificação, consulte o tópico abaixo "Como verificar o seus sistema com o Norton AntiVirus". Para cada arquivo detectado como infectado pelo W32.Nimda.A@mm ou W32.Nimda.A@mm (html), selecione REPARAR. Utilize a Quarentena caso encontre algum arquivo que não seja possível reparar. Para cada arquivo detectado com W32.Nimda.A@mm (dr), W32.Nimda.enc, W32.Nimda.A@mm (dll), selecione EXCLUIR Recupere os arquivos Admin.dll e Riched20.dll a partir do backup ou a partir dos arquivos .cab do Microsoft Windows ou Office. Remova os compartilhamentos desnecessários. Exclua a conta "Guest" do grupo Administrador (se for o caso). Como extrair o arquivo Riched20.dll Se você verificar erros quando inicializar programas com o Word, ou programas que não inicializam, você precisará extrair o arquivo Riched20.dll. Como uma alternativa, você pode reinstalar o sistema operacional e os programas afetados. Por favor, veja as instruções para o seu sistema operacional. NOTA: Estas instruções foram escritas para a sua conveniência e devem funcionar na maioria dos casos. Para maiores informações sobre a extração de arquivos incluindo arquivos do Windows que possam estar danificados, leia: The Microsoft Knowledge Base article How to Extract Original Compressed Windows Files, Article ID: Q129605 How to extract files in Windows 98 and Windows Me. Windows 95/98 Você precisa utilizar o comando EXTRACT no prompt do DOS. Siga os seguintes passos utilizando as instruções para o seu sistema operacional.

NOTAS: Você precisará de um disco de inicialização do Windows 98/Me. Se estiver usando o Windows 95, você precisará de um que tenha sido criado em um computador com Windows 98/Me). Para instruções sobre como proceder para criar um disco de inicialização, veja o documento (em inglês) How to create a Windows Startup disk. Tenha o disco de instalação do Windows disponível. Quando estiver digitando o comando, substitua a letra correspondente do drive do seu CD-ROM pela letra relevante ao seu caso. Por exemplo, se estiver usando o Windows 98 e o seu CD-ROM for o drive D, você deve digitar extract /a d:\win98\win98_40.cab riched20.dll /L c:\windows\system Se o seu Windows estiver em outro folder que não seja C:\Windows, você deve substituir o path apropriado ou nome do folder que corresponda ao seu folder \Windows. Para instruções detalhas sobre o comando EXTRACT, seja a documentação da Microsoft: How to Extract Original Compressed Windows Files, Article ID: Q129605. Para uma alternativa, de alguma forma mais simples, você pode usar o System file Checker no Windows 98 para restaurar o arquivo. Para informações sobre este recurso, por favor, veja a sua documentação do Windows. Desligue o computador e desligue a chave de força. Uma vez que o computador estiver desligado, insira o disco de inicialização do Windows 98/Me no drive e reinicialize o computador. Quando o menu de seleção aparecer, selecione START WITH CD-ROM SUPPORT (ou Inicie com o suporte a CD-ROM). Digite o comando aplicável ao seu sistema operacional Se estiver usando o Windows 98, digite o seguinte e tecle ENTER extract /a d:\win98\win98_40.cab riched20.dll /L c:\windows\system Se estiver usando o Windows 95, digite o seguinte e tecle ENTER extract /a win95_10.cab riched20.dll /L c:\windows\system Se você encontrar alguma mensagem de erro, de qualquer tipo, repita o passo (2) e tenha certeza de que você digitou corretamente o comando para o sue sistema operacional -- exatamente como descrito. Senão, digite EXIT e pressione ENTER. Windows NT 4.0 Tenha certeza de que o Windows está configurado para mostrar todos os arquivos. Procure e exclua todos os arquivos Riched20.dll Reinstale os Service Packs mais recentes. O Service Pack substituirá o arquivo com uma nova cópia. Se após a substituição dos arquivos Riched20.dll programas como o Word ou Office não funcionarem, our se estiver recebendo mensagens de erro, você terá que reinstalar o Microsoft Office. Windows 2000 Se estiver executando o Windows 2000, um programa interno encontrará e substituirá o arquivo corrompido ou que estiver faltando. Para substituir o arquivo Riched20.dll corrompido, siga os passos: Tenha certeza de que o System File Checker está habilitado.   1.1 Clique em START (Iniciar) e em RUN (Executar)   1.2 Digite cmd e clique OK   1.3 Digite o seguinte e tecle ENTER sfc /enable   1.4 Digite EXIT e pressione ENTER Tenha certeza de que o Windows está configurado para mostrar todos os arquivos:   2.1 Inicie o Windows Explorer   2.2 Clique o menu Tools (Ferramentas) e clique no folder OPTIONS (Opções)   2.3 Clique a guia VIEW (Visualizar)   2.4 Desmarque "Hide file extensions for known file types." (Ocultar extensões de arquivos para tipos de arquivos conhecidos)   2.5 Desmarque "Hide protected operating system files" (Ocultar arquivos protegidos de sistema operacional) e sobre "Hidden Files" (Arquivos ocultos) clique em "Show hidden Files and folers" (Visualizar pastas e arquivos ocultos).   2.6 Clique APLLY (Aplicar) e em seguida OK Procure o arquivo Riched20.dll   3.1 Clique START (Iniciar), aponte para FIND ou SEARCH (Localizar) e clique em Files ou folder (Arquivos ou pastas)   3.2 Tenha certeza de que "Look in" (verificar em) esteja marcado para C e que os subfolder serão incluídos na procura.   3.3 Na caixa SEARCH FOR (Procurar por) digite: riched20.dll   3.4 Clique em FIND NOW (Procurar agora)   3.5 Exclua os arquivos que aparecerem Reinicialize o seu computador O System File Checker substituirá todos os arquivos que estiverem faltando relacionados com Riched20.dll. Se após a substituição dos arquivos Riched20.dll os programas Word ou Office não rodarem corretamente, ou se verificar mensagens de erro ao iniciar, você deve reinstalar o Microsoft Office. Como configurar o Norton AntiVirus para verificar todos os arquivos e o meu sistema Abra o Norton AntiVirus Clique em Opções, Norton AntiVirus Selecione Verificações Manuais Em Tipos de Arquivos à Verificar marque a opção Todos os Arquivos Selecione Proteção Automática Em Tipos de Arquivos à Verificar marque a opção Todos os Arquivos Clique em OK No Norton AntiVirus, clique em Verificar Vírus Existentes Clique duas vezes na primeira opção que aparecerá no lado direito da janela (Verificar Meu Computador ou Verificar Todos os Discos Rígidos) Outros nomes do Nimda Nome I-Worm.Nimda (AVP) Nimda (F-Secure) Nimda.c (F-Secure) W32.Nimda.A@mm (NAV) W32.Nimda.C@mm (NAV) W32/Minda@MM W32/Nimda-C (Sophos) W32/Nimda.eml W32/Nimda.htm W32/Nimda@MM Win32.Nimda.A@mm (AVX)