FANDOM


Nimda es un gusano en Microsoft Windows y uno de los primeros capaces de ejecutarse sin que el usuario abra el correo electrónico con el gusano. También es el primero en modificar sitios para ofrecer copias de sí mismo para descargar. También tiene un componente viral que infecta archivos ejecutables.

Fue uno de los gusanos más destructivos jamás descubiertos.

Comportamiento

De manera similar a un virus, también puede infectar archivos. Su método de infección de archivos es único, ya que no se coloca dentro del archivo que infecta. En cambio, el gusano se copia a sí mismo como el nombre del ejecutable que está infectando y "asimila" el original en sí mismo como un recurso. Cuando el usuario ejecuta este programa, el gusano se ejecuta primero, luego se extrae y ejecuta el programa que el usuario pretendía ejecutar.

Nimda puede infectar archivos a través de redes. Debido a su capacidad de infección de archivos, es posible transmitir el gusano moviendo un programa ejecutable independiente a través de un disquete o un disco flash. En la mayoría de los casos, evita infectar el archivo WINZIP32.EXE. No infectará archivos cuando se ejecute desde un archivo que no sea ADMIN.DLL.

Cuando Nimda se ejecuta en un servidor web como el archivo ADMIN.DLL, se copia en la carpeta de Windows como MMC.EXE. MMC.EXE, antes de la infección de Nimda, es un archivo legítimo, el ejecutable principal de la Consola de administración de Microsoft, pero generalmente está infectado o se sobrescribe por completo. El archivo MMC.exe se ejecuta con el argumento de línea de comando "-qusery9bnow". Crea un mutex llamado "fsdhqherwqi2001".

El gusano busca archivos .exe en las unidades disponibles y los infecta. Nimda lee la clave de registro de rutas de aplicación de máquina local e infecta todos los archivos enumerados en esa clave. Además, leerá la clave Carpetas de Shell de la máquina local e intenta infectar todos los archivos en las carpetas enumeradas en esta clave.

Si Nimda comienza desde el archivo README.EXE o cualquier archivo con más de 5 caracteres en su nombre con una extensión .EXE, se copia en una carpeta temporal con un nombre mayormente aleatorio que comienza con MEP o MA y termina con .TMP, a veces con .exe como la extensión final. El archivo se ejecutará con un argumento de línea de comandos "-dontrunold".

Nimda se carga como un archivo .DLL, busca un recurso específico allí y comprueba su tamaño. Si el tamaño del recurso es inferior a 100, el gusano se descarga solo. Si el tamaño del recurso es 100 o mayor, el gusano extrae el archivo de recursos y lo ejecuta. Se verifica el tamaño del recurso para poder detectar si un gusano se ejecuta desde archivos .EXE infectados.

El gusano verifica el reloj del sistema y genera un número aleatorio. Después de procesar los números varias veces, verifica el resultado, que estará entre 1 y 100. Si el resultado es mayor que 80, eliminará cualquier archivo en la carpeta temporal que comience con README y termine con .EXE.

El gusano extrae su mensaje MIME a una carpeta temporal bajo un nombre de archivo aleatorio.

Nimda asigna su proceso como un hilo del proceso EXPLORER, aunque esto puede no funcionar en algunos sistemas. Esto mantendrá el gusano funcionando incluso cuando un usuario diferente haya iniciado sesión en la máquina. Crea un mutex llamado "fsdhqherwqi2001". El gusano inicia los servicios de Winsock y obtiene información sobre su host, luego duerme por un tiempo.

El contenido de la comunidad está disponible bajo CC-BY-SA a menos que se indique lo contrario.