CERTA-2001-ALE-013
Vulnerability from certfr_alerte - Published: - Updated:
Un nouveau ver se propage en exploitant des vulnérabilités connues sous Microsoft Windows.
Description
Le ver NIMDA s'attaque aux serveurs IIS ainsi qu'aux postes clients utilisant Internet Explorer et/ou Outlook.
Il s'installe sur les serveurs par le biais des vulnérabilités suivantes :
- Failles des serveurs IIS décrites dans les avis CERTA-2000-AVI-028, CERTA-2001-AVI-053 et CERTA-2000-AVI-061 ;
- Réutilisation d'une porte dérobée préalablement installée par le ver Code Red II ou le ver sadmind (Réf : CERTA-2001-ALE-008-003 et CERTA-2001-ALE-007)
Une fois installé, le ver modifie tous les fichiers web (HTML et ASP) en y incorporant un script « javascript » dans le but d'infecter les visiteurs du site contaminé (Exploitation d'une vulnérabilité de Windows Média Player, Réf : CERTA-2001-AVI-041).
Sur les postes clients, le ver se transmet par la messagerie en expédiant aux destinataires du carnet d'adresses Outlook un message accompagné d'une pièce jointe README.EXE ou lors de la consultation d'une page Web infectée par le code javascript précédemment cité.
Lors de l'infection, le ver active le partage masqué des disques (exemple : partage de C sous C\$).
- Sous Windows 9x et Me : partage total sans mot de passe ;
- Sous Windows NT et 2000 : création d'un compte guest dans le groupe admin.
Ce partage ne devient effectif qu'en cas de redémarrage de la machine infectée.
Détection
-
Vérifier les extraits des logs au niveau des serveurs IIS.
Exemples de log :
GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dirGET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dirGET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dirGET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dirGET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dirGET /scripts/..%252f../winnt/system32/cmd.exe?/c+dirGET /scripts/root.exe?/c+dirGET /MSADC/root.exe?/c+dirGET /c/winnt/system32/cmd.exe?/c+dirGET /d/winnt/system32/cmd.exe?/c+dirGET /scripts/..%255c../winnt/system32/cmd.exe?/c+dirGET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dirGET /scripts/root.exe?/c+dirGET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dirGET /MSADC/root.exe?/c+dirGET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir -
Vérifier le contenu des pages mises en ligne et notamment la présence de la ligne javascript suivante :
windows.open(''readme.eml'',null,''resizable=no,top=6000,left=6000'')
-
Vérifier l'état des partages réseau et la présence d'un compte guest sous Windows NT et 2000 ;
-
Le ver ajoute à la ligne shell=, dans le fichier system.ini, l'entrée load.exe :
shell=explorer.exe load.exe -dontrunold
-
Les clés suivantes sont également ajoutées ou modifiées dans la base de registre :
-
HKEY_CURRENT_USER\Software\Microsoft\Windows\currentVersion\Explorer\advanced\HideFileExt -
HKEY_CURRENT_USER\Software\Microsoft\Windows\currentVersion\Explorer\advanced\Hidden -
HKEY_CURRENT_USER\Software\Microsoft\Windows\currentVersion\Explorer\advanced\SuperHidden -
Sous Windows NT et 2000 la clé suivante est supprimée :
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\lanmanserver\Share\Security
-
-
Vérifier la présence du fichier admin.dll à la racine des disques ;
-
Le virus modifie des fichiers légitimes ou ajoute des exécutables :
- ADMIN.DLL
- LOAD.EXE
- MMC.EXE
- README.EXE
- RICHED20.DLL
- MEP*.TMP.EXE
Contournement provisoire
- Placer les paramètres de sécurité de Internet Explorer en mode élevé et désactiver les javascripts et le téléchargement automatique de fichiers ;
- Filtrer le port 69/UDP (TFTP) au niveau du garde barrière ;
- Filtrer les ports 135 à 139/TCP-UDP (Partage NETBIOS) au niveau du garde barrière ;
- Désactiver les serveurs IIS (installé par défaut) s'ils ne sont pas indispensables.
Solution
-
Mettre à jour vos antivirus :
-
Sophos :
http://www.sophos.com/virusinfo/analyses/w32nimdaa.html -
NAI :
http://www.vil.nai.com/vil/virusSummary.asp?virus_k=99209 -
F-Secure :
http://www.f-secure.com/v-descs/nimda.shtml -
Symantec :
http://www.sarc.com/avcenter/venc/data/w32.nimda.a@mm.html -
Les éditeurs proposent également des outils (non testés) afin de détecter et d'éradiquer ce ver. Exemple :
http://download.nai.com/products/mcafee-avert/nimda2.exe
-
-
Mettre à jour vos serveurs IIS :
http://www.microsoft.com/technet/security/bulletin/MS01-044.asp -
Mettre à jour Internet Explorer :
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
Microsoft Windows 95, 98, ME, NT, et 2000.
| Vendor | Product | Description |
|---|
| Title | Publication Time | Tags | ||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
||||||||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [],
"affected_systems_content": "\u003cP\u003eMicrosoft Windows 95, 98, ME, NT, et 2000.\u003c/P\u003e",
"closed_at": "2001-09-19",
"content": "## Description\n\nLe ver NIMDA s\u0027attaque aux serveurs IIS ainsi qu\u0027aux postes clients\nutilisant Internet Explorer et/ou Outlook. \n \n\nIl s\u0027installe sur les serveurs par le biais des vuln\u00e9rabilit\u00e9s suivantes\n:\n\n- Failles des serveurs IIS d\u00e9crites dans les avis CERTA-2000-AVI-028,\n CERTA-2001-AVI-053 et CERTA-2000-AVI-061 ;\n- R\u00e9utilisation d\u0027une porte d\u00e9rob\u00e9e pr\u00e9alablement install\u00e9e par le ver\n Code Red II ou le ver sadmind (R\u00e9f : CERTA-2001-ALE-008-003 et\n CERTA-2001-ALE-007)\n\nUne fois install\u00e9, le ver modifie tous les fichiers web (HTML et ASP) en\ny incorporant un script \u00ab javascript \u00bb dans le but d\u0027infecter les\nvisiteurs du site contamin\u00e9 (Exploitation d\u0027une vuln\u00e9rabilit\u00e9 de Windows\nM\u00e9dia Player, R\u00e9f : CERTA-2001-AVI-041). \n \n\nSur les postes clients, le ver se transmet par la messagerie en\nexp\u00e9diant aux destinataires du carnet d\u0027adresses Outlook un message\naccompagn\u00e9 d\u0027une pi\u00e8ce jointe README.EXE ou lors de la consultation\nd\u0027une page Web infect\u00e9e par le code javascript pr\u00e9c\u00e9demment cit\u00e9. \n \n\nLors de l\u0027infection, le ver active le partage masqu\u00e9 des disques\n(exemple : partage de C sous C\\$).\n\n- Sous Windows 9x et Me : partage total sans mot de passe ;\n- Sous Windows NT et 2000 : cr\u00e9ation d\u0027un compte guest dans le groupe\n admin.\n\nCe partage ne devient effectif qu\u0027en cas de red\u00e9marrage de la machine\ninfect\u00e9e.\n\n## D\u00e9tection\n\n- V\u00e9rifier les extraits des logs au niveau des serveurs IIS.\n\n Exemples de log :\n\n `GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir`\n\n `GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir`\n\n `GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir`\n\n `GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir`\n\n `GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir`\n\n `GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir`\n\n `GET /scripts/root.exe?/c+dir`\n\n `GET /MSADC/root.exe?/c+dir`\n\n `GET /c/winnt/system32/cmd.exe?/c+dir`\n\n `GET /d/winnt/system32/cmd.exe?/c+dir`\n\n `GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir`\n\n `GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir`\n\n `GET /scripts/root.exe?/c+dir`\n\n `GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir`\n\n `GET /MSADC/root.exe?/c+dir`\n\n `GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt`\n `/system32/cmd.exe?/c+dir`\n\n- V\u00e9rifier le contenu des pages mises en ligne et notamment la\n pr\u00e9sence de la ligne javascript suivante :\n\n windows.open(\u0027\u0027readme.eml\u0027\u0027,null,\u0027\u0027resizable=no,top=6000,left=6000\u0027\u0027)\n\n- V\u00e9rifier l\u0027\u00e9tat des partages r\u00e9seau et la pr\u00e9sence d\u0027un compte guest\n sous Windows NT et 2000 ;\n\n- Le ver ajoute \u00e0 la ligne shell=, dans le fichier system.ini,\n l\u0027entr\u00e9e load.exe :\n\n shell=explorer.exe load.exe -dontrunold\n\n- Les cl\u00e9s suivantes sont \u00e9galement ajout\u00e9es ou modifi\u00e9es dans la base\n de registre :\n - `HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\currentVersion\\Explorer\\advanced`\n `\\HideFileExt`\n\n - `HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\currentVersion\\Explorer\\advanced`\n `\\Hidden`\n\n - `HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\currentVersion\\Explorer\\advanced`\n `\\SuperHidden`\n\n - Sous Windows NT et 2000 la cl\u00e9 suivante est supprim\u00e9e :\n\n `HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Services\\lanmanserver`\n\n `\\Share\\Security`\n\n- V\u00e9rifier la pr\u00e9sence du fichier admin.dll \u00e0 la racine des disques ;\n\n- Le virus modifie des fichiers l\u00e9gitimes ou ajoute des ex\u00e9cutables :\n - ADMIN.DLL\n - LOAD.EXE\n - MMC.EXE\n - README.EXE\n - RICHED20.DLL\n - MEP\\*.TMP.EXE\n\n## Contournement provisoire\n\n- Placer les param\u00e8tres de s\u00e9curit\u00e9 de Internet Explorer en mode \u00e9lev\u00e9\n et d\u00e9sactiver les javascripts et le t\u00e9l\u00e9chargement automatique de\n fichiers ;\n- Filtrer le port 69/UDP (TFTP) au niveau du garde barri\u00e8re ;\n- Filtrer les ports 135 \u00e0 139/TCP-UDP (Partage NETBIOS) au niveau du\n garde barri\u00e8re ;\n- D\u00e9sactiver les serveurs IIS (install\u00e9 par d\u00e9faut) s\u0027ils ne sont pas\n indispensables.\n\n## Solution\n\n- Mettre \u00e0 jour vos antivirus :\n - Sophos :\n\n http://www.sophos.com/virusinfo/analyses/w32nimdaa.html\n\n - NAI :\n\n http://www.vil.nai.com/vil/virusSummary.asp?virus_k=99209\n\n - F-Secure :\n\n http://www.f-secure.com/v-descs/nimda.shtml\n\n - Symantec :\n\n http://www.sarc.com/avcenter/venc/data/w32.nimda.a@mm.html\n\n - Les \u00e9diteurs proposent \u00e9galement des outils (non test\u00e9s) afin de\n d\u00e9tecter et d\u0027\u00e9radiquer ce ver. Exemple :\n\n http://download.nai.com/products/mcafee-avert/nimda2.exe\n\n- Mettre \u00e0 jour vos serveurs IIS :\n\n http://www.microsoft.com/technet/security/bulletin/MS01-044.asp\n\n- Mettre \u00e0 jour Internet Explorer :\n\n http://www.microsoft.com/technet/security/bulletin/MS01-020.asp\n",
"cves": [],
"links": [
{
"title": "Bulletin du Cert CC :",
"url": "http://www.cert.org/body/advisories/CA200126_FA200126.html"
}
],
"reference": "CERTA-2001-ALE-013",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2001-09-19T00:00:00.000000"
}
],
"risks": [
{
"description": "Virus"
},
{
"description": "Compromission"
},
{
"description": "Installation de portes d\u00e9rob\u00e9es"
},
{
"description": "Acc\u00e8s aux donn\u00e9es"
},
{
"description": "Ex\u00e9cution de code arbitraire"
},
{
"description": "D\u00e9ni de service"
}
],
"summary": "Un nouveau ver se propage en exploitant des vuln\u00e9rabilit\u00e9s connues sous\nMicrosoft Windows.\n",
"title": "Propagation du ver/virus NIMDA (Concept Virus)",
"vendor_advisories": [
{
"published_at": null,
"title": "FIRST",
"url": null
},
{
"published_at": null,
"title": "Avis CA-2001-26 du Cert CC",
"url": null
},
{
"published_at": null,
"title": "Sophos",
"url": null
}
]
}
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.