O Code Red II, que se espalhou rapidamente pelo mundo, atacando computadores conectados à internet, tem um novo sucessor. No dia 18/9/2001, foi detectada às 10h10 (horário de Brasília) a primeira ação do novo vírus, denominado W32.Nimda, nos Estados Unidos. Uma hora depois, a Open Communications Security, empresa brasileira especializada em mecanismos para segurança de redes de comunicação, identificou o ataque desse vírus no Brasil.

De acordo com o gerente de engenharia da Open, Paulo Perez, ainda há poucas informações sobre esse novo perigo para as redes de comunicação, mas ele garante que esse vírus oferece mais riscos que seus antecessores. O Code Red II realizava um ataque ao sistema, deixando uma backdoor (literalmente, porta de trás, referência a um atalho secreto ao código do programa) aberta nos computadores infectados. Perez ressalta que o W32.Nimda é mais insistente e produz uma série de ataques simultâneos ao sistema para obter sucesso, inclusive utilizando a própria backdoor do Code Red II para fazer sua contaminação. 

O W32.Nimda para seu ataque faz uso de duas vulnerabilidades e uma backdoor. Pode se espalhar através de correio eletrônico, através do envio de uma mensagem contendo o arquivo readme.exe; assim que esta mensagem é aberta ou mesmo visualizada, o sistema é contaminado, graças a uma falha de segurança no Outlook e no Outlook Express. A partir do momento da contaminação, o W32.Nimda automaticamente começa a enviar cópias de si mesmo para a lista de contatos e inicia um verme, que procura e contamina máquinas IIS vulneráveis ao ataque do Code Red ou que possuam uma backdoor instalado pelo Code Red II.

No processo de infecção, o vírus tenta explorar as vulnerabilidades de diversos serviços do Windows, incluindo o IIS, IE 5.0, Outlook e Outlook Express. Portanto, segundo Paulo, todos estes programas devem estar com seus patches (arquivos de correção distribuídos pelos produtores dos programsa) de segurança mais recentes
instalados.

O efeito dessa ação é que os computadores ficam disponíveis para quem estiver disposto a entrar no sistema (através de uma backdoor). O gerente de engenharia da Open informa que diversos sites brasileiros foram contaminados nas primeiras horas de ação do novos vírus, sendo que seus efeitos ainda estão sendo analisados. 

“Mais uma vez, nós estamos sendo pioneiros a identificar esse tipo de ataque, como aconteceu anteriormente com o Code Red II”, afirma Carlos Alberto Costa, diretor executivo da Open. A empresa é a nova opção no mercado nacional para soluções relacionadas à segurança da informação. Em funcionamento desde 1/2001, a Open está se consolidando como a prestadora de completos mecanismos de segurança entre empresas de diversos ramos de negócios, principalmente instituições financeiras, oferecendo soluções integradas, através de projetos que atendam especificamente às necessidades do segmento.

Com o objetivo de garantir a segurança das redes e meios de comunicação, a Open usa modernos mecanismos de segurança da informação, como os produtos Firewall, VPN (Virtual Private Network), HSA (Hardware Security Apliance), IDS (Intrusion Detection System), IDN (Intrusion Detection Networks), System Scanner, Antivírus e Controle de Conteúdo (Web/Mail).

Os sintomas da presença do vírus no sistema são a existência dos arquivos C:\ADMIN.DLL, D:\ADMIN.DLL, e E:\ADMIN.DLL, ou ainda do arquivo README.EML. Outro sintoma é a inesperada abertura de compartilhamento de recursos de rede.

O Nimda pode infectar todos os computadores desprotegidos que utilizem Windows 9*/NT/2000/ME, e seu objetivo principal é se espalhar pela Internet e intranets, infectando tantos sistemas quanto possível e criando alto tráfego de rede, até virtualmente inutilizá-la. Assim, usuários finais e administradores de rede usando Microsoft Internet Explorer versões 5.01 ou 5.5 sem a atualização (service pack) SP2 devem providenciar os arquivos de atualização (patches) para o cabeçalho MIME incorreto que pode permitir ao programa executar essa vulnerabilidade de anexo a correio eletrônico. Os administradores que não tenham tomado essa providência devem imediatamente instalar o patch cumulativo para IIS de 15/8/2001.

Como o vírus usa ainda a mesma vulnerabilidade de compartilhamento de rede explorada pelo W32/CodeBlue, a Microsoft Web Folder Transversal, e a backdoor criada pelo verme W32/CodeRed.c, os administradores de rede devem estar atentos ao compartilhamento de rede, que tende a ser usado pelo Nimda para transmissão maciça de mensagens eletrônicas. 

No caso de sistemas infectados, os compartilhamentos de rede devem ser fechados antes e durante todo o processo de desinfecção dos computadores.

Com copyright! - Detalhe: o vírus contém a mensagem (string): 

O assunto da mensagem eletrônica varia, o corpo da mensagem é em branco e o nome do arquivo vinculado também é variável, podendo usar o ícone de um documento HTML do Internet Explorer. As principais formas de propagação do Nimda são através da inclusão de um arquivo vinculado executável de áudio/x-wav. Quando a mensagem é acessada, o arquivo vinculado é executado sem seu conhecimento. Basta o usuário ver a página no MS Outlook ou MS Outlook Express usando o recurso de pré-visualização para o computador ser contaminado.

Ao contaminar o sistema, o vírus inclui documentos .ASP, .HTM e .HTML, e arquivos com nomes Index, Main e Default, com código javascript que contém instruções para abrir uma nova janela do navegador contendo a mensagem eletrônica contaminada, obtida do arquivo README.EML. Assim que essa página infectada é acessada, local ou remotamente, a máquina que esteja mostrando a página é afetada. Ou seja, simplesmente visitando um site contaminado pode infectar o computador.

Quando infectado, o computador cria compartilhamentos de rede para cada drive local como %$ (onde % = letra do drive que está sendo compartilhada). Em ambiente Win 9x/ME, esta é configurada para pleno compartilhamento sem senha. Em Windows NT/2000, o usuário Guest dá permissão para compartilhar e adicionar o grupo Administradores como Guests. O reinício (reboot) é solicitado para esses compartilhamentos serem criados.

O verme controla os endereços Internet apontando para servidores IIS, para infectá-los através da vulnerabilidade Web Folder Transversal através do envio de uma requisição GET mal formada, permitindo a máquinas vulneráveis iniciarem uma seção TFTP para copiar o arquivo ADMIN.DLL da máquina que emite a requisição. Após a transmissão do arquivo, o sistema remoto é instruído para executar o DLL que infecta essa máquina. Se a sessão TFTP falhar na conexão, arquivos múltiplos (TFTP*) são criados no diretório Windows/Temp, que são apenas cópias do verme, permitindo usar a backdoor criada pelo W32/CodeRed.c para infectar arquivos executáveis (.EXE), que passam a conter o código do vírus.

Os sistemas infectados são usados para infectar outros através da Web. Como isso cria inúmeras sessões de escuta de porta (port scanning), pode congestionar o tráfego na rede. Os endereços de correio para o reenvio do vírus são obtidos das mensagens MAPI do OUtlook e do Outlook Express, bem como de documentos HTM e HTML. O verme pode se auto-emitir para esses endereços sem linha de assunto ou com uma linha de assunto contendo uma chave parcial de registro. O verme pode se copiar para o diretório Windows\System como Load.exe e criar uma entrada no arquivo System.Ini para se carregar automaticamente na inicialização do sistema: 
                      Shell=explorer.exe load.exe -dontrunold 

Além disso, uma versão codificada MIME do vereme é criada em cada pasta no sistema, principalmente como README.EML (podem ser também arquivos .NWS). Isso pode criar grande quantidade de arquivos, em alguns casos ocupando todo o espaço livre no disco rígido. O arquivo Wininit.ini pode ser usado para apagar arquivos específicos do verme quando o sistema é reiniciado:
                       NUL=C:\WINDOWS\TEMP\MEP52b0.TMP.exe

Alguns valores de chave do Registro do Windows podem ser criados ou modificados para esconder os arquivos:

Uma área do registro é apagada para remover proteção de compartilhamento sob Windows NT/2000: 

O verme salva uma cópia de si mesmo nos drives C:\, D:\, e E:\ como ADMIN.DLL. Os nomes de arquivo do veme incluem: ADMIN.DLL, LOAD.EXE, MMC.EXE, README.EXE, RICHED20.DLL, MEP*.TMP.EXE. Aplicações que usam formato de texto enriquecido, como o MS Word e o Wordpad chamam esse arquivo RICHED20.DLL, que assim executa o vírus quando é rodado. O arquivo MMC.EXE é o nome do aplicativo Microsoft Management Console application, e o Avert Labs verificou que o verme pode sobreescrever esse arquivo.