Nimda
Le ver Nimda (anglais : Nimda Worm) est un logiciel malveillant. Son nom vient de l'orthographe inversée de "admin".
Propagation
modifierLe ver se transmet en s'envoyant lui-même par courriel à toutes les personnes du carnet d'adresse Outlook, tente d'infecter un serveur Microsoft IIS si présent et recherche les éventuels dossiers partagés pour y laisser une copie de lui-même.
Le ver utilise une faille, connue sous le nom de Unicode Web Traversal exploit [1], qui permettait en modifiant les données d'une URL de passer outre au contrôle de l'utilisateur et de forcer l'installation du logiciel. Il pouvait donc s'installer sur simple visite d'un site infecté.
Pour se transmettre par courriel, le ver utilise une faille de l'implémentation de MIME par Microsoft Internet Explorer, lui permettant de s'exécuter sur simple prévisualisation du courriel dans Microsoft Outlook, sans prévenir l'utilisateur. [2]
Lors d'une visite d'un site infecté, le navigateur propose le téléchargement d'un fichier .eml qui contient, en pièce jointe, une copie du ver. Sur certains systèmes, le téléchargement se fait automatiquement (faille IFRAME) et le fichier s'exécute sans l'avis de l'utilisateur.
Caractéristiques du fichier
modifierLe fichier infecté peut prendre différents noms (il existe 9 variantes de Nimda), la première version est :
- README.EXE ;
- 57344 octets ;
- Tente une connexion sur le port 69 (TFTP, UDP) ;
Via TFTP, le ver tente de se copier sur un serveur IIS vulnérable, sous les caractéristiques suivantes :
- admin.dll ;
- 57344 octets ;
Ce fichier redirige les visiteurs du site vers des scripts JavaScript infectés qui provoquent la lecture de Readme.eml, contenant README.EXE, le fichier contenant le ver.
Ports utilisés
modifier- SMTP (TCP/IP port 25) : utilisé par le ver pour s'envoyer par courriel ;
- TFTP (UDP/IP port 69) : utilisé par le ver pour infecter un site web vulnérable ;
- HTTP (TCP/IP port 80) : utilisé par le ver pour infecter un visiteur d'un site infecté ;
- NetBIOS (TCP/IP ports 137 à 139, port 445) : utilisé pour sa transmission ;
Exécution
modifierUne fois lancé, le ver se copie sur tous les emplacements disponibles : disquettes, disques durs, CD et dossiers partagés. Il ouvre également une porte dérobée (backdoor) permettant à un hacker l'accès à l'ordinateur. Le ver se crée également un compte administrateur.
Le ver n'hésite pas à effacer des fichiers pour se copier. Enfin, il utilise le logiciel Microsoft Outlook pour s'envoyer à tous les contacts de la victime. Puis, tous les 10 jours, il se renvoie aux contacts de la victime.
Les nombreuses connexions établies par le ver ralentissent les performances globales et réseau de l'ordinateur infecté.
Le ver recherche les fichiers listés dans :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folder
Pour se copier à leur place.
Le ver se copie sous le nom Riched20.dll, un fichier normalement utilisé par les programmes tels que Microsoft Word, ce qui lui assure d'être lancé en même temps que ces programmes d'un usage courant.
Le ver se copie sous le nom C:\Windows\System\load.exe et se lance à chaque démarrage.
Le seul fichier épargné par Nimda est Winzip32.exe.
Systèmes infectés
modifierSeuls les systèmes suivants peuvent être affectés par le ver Nimda :
- Windows 95
- Windows 98
- Windows NT 3
- Windows NT 4
- Windows NT 5 (2000 et XP)
- Windows Me