Passer au contenu

Nimda.E, un émule insipide

Novateur, le virus Nimda est de nouveau plagié sans panache. La dernière variante en date reste néanmoins très dangereuse pour les utilisateurs n’ayant pas installé les correctifs de Microsoft et les mises à jour récentes des antivirus.

Nimda.E ?” parfois appelé Nimda.D ou Nimda 2.0 ?” est une variante du virus Nimda (anagramme de Admin), également connu sous les noms Nimda.A ou W32.Nimda.A@mm.Mode opératoire : apparu le 18 septembre dernier, le virus Nimda est un ver Internet qui exploite trois voies de propagation ; le courrier électronique, les disques durs partagés en réseau et certaines failles du serveur Web IIS, de Microsoft, connues sous le nom de IIS Web Directory Traversal Exploit (ou Unicode Web Traversal IIS Exploit).La nouvelle mouture Nimda.E, détectée depuis le 29 octobre dernier en Corée, reprend globalement les caractéristiques et le mode opératoire de son aîné.Par courrier électronique, le ver se propage au moyen d’une pièce attachée (sample.exe), jointe à un message reçu sur un client de messagerie supportant les MAPI (Messaging Application Programming Interface). Avec Outlook et Outlook Express, de Microsoft, il n’est pas nécessaire d’ouvrir le fichier joint pour que le ver s’introduise, le simple affichage du message dans la fenêtre de prévisualisation suffit. Avec les autres clients de messagerie, la contamination est liée à l’ouverture de la pièce attachée. Le ver s’autopropage ensuite en exploitant les coordonnées stockées dans les carnets d’adresses disponibles.Le ver s’attaque également aux répertoires des disques durs partagés en réseau ayant un accès en écriture autorisé. Dans ces dossiers, il dépose un fichier au nom aléatoire en Newsgroup posting (NWS) ou EML. Sur un serveur IIS, de Microsoft, il place le Httpodbc.dll (admin.dll sur le ver original) afin de s’octroyer des droits administrateurs.Dommages : outre sa propagation très rapide au travers des messageries MAPI, le ver provoque des surcharges sur les serveurs infectés et des dénis de service en monopolisant la bande passante. Il exploite également les failles de sécurité pour créer un compte invité avec les droits de l’administrateur afin d’ouvrir les ressources partagées du système infecté au monde extérieur. L’objectif semble comme pour Nimda. A de compliquer le travail des administrateurs. Jusqu’à présent, aucune donnée n’a été altérée par le virus.Eradication : cette variante du ver ne présente aucune technique nouvelle d’infection. Seuls les noms de fichiers infectés et déposés par le ver ont changé. Ainsi, le fichier csrss.exe succède à mmc.exe sur les disques durs et sample.exe se substitue à la pièce jointe Readme.exe lors des attaques par courrier électronique. Le ver touche uniquement les utilisateurs et les entreprises n’ayant pas fait l’effort d’installer les correctifs de Microsoft et de mettre à jour leurs solutions de détection et déradication de virus. Le ver et son comportement sont connus, par conséquent sa signature sera identifiée par les antivirus.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Augustin Garcia