English | Deutsch | Español | Português
 ID de Usuario:
 Contraseña:
Nuevo usuario
   Programas de Asociados |  Testimonios |  En la Prensa |  Listas de Correos |  Acerca Nuestro|  Contáctenos  |  Privacidad |  Abuso
 Herramientas:   Prueba de Web |  WHOIS Global |  Trace Route |  Auto Prueba Nimda |  Auto Prueba Nimda |  W32.Bugbear
 
Nimda, Auto Prueba

¿Que es el Gusano Nimda?
El gusano Nimda, también conocido como W32.Nimda.A@mm, Code Rainbow, Minda, Nimbda, es una porción de software auto-reproducible que infecta los servidores de web IIS así como a los usuarios que ejecutan Internet Explorer 5. Fue visto en su estado natural el martes 18 de Septiembre alrededor de las 9a.m. El gusano se propaga en al menos 4 formas distintas, incluyendo:

  • Intenta explorar numerosas exposiciones distintas de IIS, incluyendo la exposición Unicode e infecciones de gusanos anteriores (SAdminD/Red Code II), y sobre la infección, comienza un nuevo ciclo de ataques.
  • Modificaciones en páginas web sobre servidores de web, que cuando son vistos por el IE 5.0, provocará que el IE ejecute código malicioso el cual infecta el sistema del usuario. Advierta - el usuario no necesita estar ejecutando IIS.
  • Cosecha las direcciones de correo de la libreta de direcciones y páginas de servidores de web almacenadas en los sistemas de usuarios que se infectan, enviando adjuntos infectados a otros usuarios que se ejecutarán automáticamente si son abiertos.
  • La propagación vía archivos compartidos sobre accesos compartidos vía usuarios invitados y donde no se ha fijado contraseña.
Este gusano está informado como extremadamente agresivo en sus exploraciones, y de acuerdo a distintos alertas se difunde rápidamente.

Firma
El Gusano verifica los sistemas por un número de posibles puntos de ingreso distintos. El siguiente extracto de archivo de registro es de un sistema Apache que está siendo activamente explorado por otros sitios:

"GET /scripts/root.exe?/c+dir HTTP/1.0" 302 209 - - - "-" "-"
"GET /MSADC/root.exe?/c+dir HTTP/1.0" 302 209 - - - "-" "-"
"GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 209 - - - "-" "-"
"GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 209 - - - "-" "-"
"GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 209 - - - "-" "-"
"GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 209 - - - "-" "-"
"GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 209 - - - "-" "-"
"GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 209 - - - "-" "-"
"GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 209 - - - "-" "-"
"GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 209 - - - "-" "-"

Pruébeme Ahora
Si está ejecutando su navegador desde el mismo sistema que está ejecutando su servidor Web, simplemente haga clic en el siguiente botón para determinar si su servidor web es susceptible o ha sido infectado por el Gusano Nimda.


(Por favor tenga paciencia - demora 30 segundos ejecutar la prueba, por lo que, ¡espere hasta que la página aparezca!)
¿Cómo lo Detengo?
Le recomendamos a los usuarios que tomen los pasos para actualizar sus versiones de IIS a la mas nueva, asegurándose que se aplican todos los parches de seguridad. Los usuarios de Internet Explorer también deberían tener cuidado de actualizar sus navegadores.

Referencias
Incidents.org
TruSecure
Symantec
Newsbytes
F-Secure
Sophos


Principal | Acerca de Nosotros | Contáctenos | Programas de Asociado | Developer APIs | Privacidad | Listas de Correo | Abuso
Auditorías de Seguridad | DNS Administrado | Monitoreo de Red | Analizador de Sitio | Informes de Investigación de Internet
Prueba de Web | Whois

© 1998-2017 E-Soft Inc. Todos los derechos reservados.