El virus Nimda: cómo funciona y cómo protegerte

El virus Nimda es un malware que apareció por primera vez en septiembre de 2001 y provocó ralentizaciones en las computadoras y las redes a medida que arrasaba el mundo digital. Está dirigido a computadoras que ejecutan versiones anteriores de Windows, incluidas 95, 98, NT, XP y 2000. Nimda causó cientos de millones de dólares en costos de daños antes de que los expertos en seguridad cibernética crearan un parche para deshacerte de las debilidades que explotaba.

El objetivo principal de Nimda es difundirse por cualquier medio posible. No elimina archivos ni causa otros efectos dañinos además del caos resultante de la desaceleración de las CPU y el tráfico de la red.

Es particularmente eficaz porque combina técnicas de los tres tipos principales de malware que los piratas informáticos utilizan para dañar las computadoras: gusanos, virus y caballos de Troya.

Te puede interesar leer: El virus ILOVEYOU: cómo funciona y cómo protegerte

  • Un gusano informático es un pequeño programa que puede propagarse a través de una red sin la acción de un usuario humano. Las capacidades similares a las de un gusano de Nimda le permiten ejecutar código malicioso desde el panel de vista previa de un archivo adjunto de correo electrónico sin que el usuario abra el archivo adjunto.
  • Un virus informático inserta duplicados de sí mismo en otros archivos y aplicaciones. Nimda tiene una capacidad de infección de archivos que coloca copias de su código en archivos DLL y ejecutables.
  • Un caballo de Troya digital es una aplicación que parece realizar una tarea útil mientras ejecuta silenciosamente código malicioso. Nimda fue el primer malware que infectó servidores y convirtió sus sitios web alojados en caballos de Troya que hacían que los navegadores de los visitantes descargaran un script que contenía el virus.

Unos años después de su descubrimiento, los investigadores de seguridad informática de F-Secure encontraron una cadena de texto oculta en el código Nimda que decía «Concept Virus(CV) V.5, Copyright(C)2001 RPChina». A pesar de esta implicación sospechosamente flagrante, el verdadero origen del gusano multivector aún es incierto.

El texto también implica que el hacker que creó Nimda pretendía que se llamara «Concept Virus». Cuando los investigadores se dieron cuenta de que ese nombre ya había sido tomado por otro virus, lo llamaron «Nimda», que es la ortografía inversa de «admin», un nombre de archivo comúnmente utilizado por el virus.

¿Cómo se propaga el virus Nimda?

Nimda utiliza cuatro técnicas principales para propagarse:

  • Compartir archivos infectados a través de redes abiertas
  • Envío de archivos adjuntos de correo electrónico infectados
  • Explotación de las primeras versiones de IIS, el servidor web de Microsoft Windows, para cargar scripts infectados en páginas web expuestas
  • Descargar scripts infectados a las computadoras de los usuarios que navegan por páginas web infectadas

El método que utiliza este gusano multivectorial para infectar archivos es ligeramente diferente al de la mayoría de los demás virus. Mientras que el virus promedio se apodera de un archivo colocando una copia de su código dentro del archivo, Nimda elimina el archivo original, hace una copia de sí mismo con el nombre del archivo original y luego incrusta el contenido del archivo original dentro de esta nueva copia como un archivo. Recurso de Windows. Cuando se utiliza el archivo, el gusano informático carga primero su código malicioso y luego extrae y ejecuta el programa original.

Esto significa que el código de infección de archivos de Nimda a menudo reinfecta archivos contaminados varias veces. Hay casos en los que un archivo Nimda infectado contiene una copia incrustada de otro archivo Nimda infectado, que contiene otro archivo Nimda incrustado, que finalmente contiene el programa original. Los investigadores antivirus han registrado casos de hasta 250 reinfecciones en un solo archivo.

Una vez que Nimda infecta una computadora, comienza a buscar formas de propagarse completamente a través de esa computadora y de cualquier otra en redes locales abiertas. Crea archivos ocultos que contienen su código con la extensión EML o NWS en tantas carpetas como puede, normalmente nombrando estos archivos «README», «ADMIN», «DESKTOP» o «SAMPLE».

Cuando encuentra carpetas que contienen documentos, crea un archivo infectado llamado «RICHED20.DLL» en la carpeta. Esto se debe a que Windows tiende a buscar una DLL local con ese nombre cuando carga documentos complejos. Cuando un usuario abre cualquier documento en la misma carpeta que la DLL infectada, Nimda tiene más oportunidades de propagarse.

A continuación, Nimda busca direcciones de correo electrónico en la libreta de direcciones de la computadora, la bandeja de entrada y cualquier documento HTML en su carpeta Archivos temporales de Internet. Recopila tantos como puede encontrar y les envía todos los correos electrónicos en blanco con líneas de asunto vacías o aleatorias que contienen archivos adjuntos infectados generalmente denominados «README.EXE». Cuando un destinatario abre o incluso obtiene una vista previa del archivo adjunto, su código malicioso puede comenzar a propagar el virus a través de la nueva máquina.

Contenido similar: Comparación de Spotify free y premium ¿Cuál es la diferencia?

Nimda también comienza a sondear un rango de direcciones IP seleccionadas al azar, buscando servidores que ejecuten versiones expuestas de IIS de Microsoft. Cuando encuentra una manera de entrar, comienza a colocar scripts incrustados con código malicioso en tantas páginas web del servidor como puede.

Si un usuario con un navegador expuesto visita una de estas páginas infectadas, el script Nimda de la página descargará automáticamente un archivo README.EML que contiene el código malicioso del gusano informático. Luego, el archivo se abrirá subrepticiamente en una ventana minimizada, ejecutando automáticamente su script Nimda y el proceso de propagación comenzará nuevamente.

¿Cuáles son los efectos y los costos de los daños del virus Nimda?

Cuáles son los efectos y los costos de los daños del virus Nimda
Cuáles son los efectos y los costos de los daños del virus Nimda

El malware Nimda tiene efectos sutilmente diferentes dependiendo de dónde comienza la infección y cómo llega. Su carga útil destructiva se limita a tareas de propagación, que incluyen técnicas de infección de archivos y modificación de contenido web.

Si un archivo infectado escapa de las defensas de su red, puede terminar con cientos de máquinas que contienen miles de archivos infectados o dañados, lo que hace que el gusano multivector sea casi imposible de eliminar. Si se propaga lo suficiente a través de un servidor web, puede causar indirectamente eventos de denegación de servicio simplemente debido al volumen de tráfico que desencadenan sus procesos.

En su auge inicial, el virus Nimda se propagó en casi 160.000 sistemas. Varias grandes empresas tuvieron que desconectar sus redes de Internet para evitar infecciones. Nimda llegó a los servidores de algunas de las empresas más grandes de la época, incluidos los sitios web de Dell y Microsoft.

Pocas semanas después de la primera ola, otra variante llamada “Nimda.e” se infiltró en los sistemas informáticos del tribunal federal de Miami, Florida. Durante la semana de Halloween, los empleados del tribunal tuvieron que cerrar sus redes y volver a utilizar archivos en papel. Los archivos electrónicos finalmente se recuperaron después de que el gobierno local contratara a un equipo experto en ciberseguridad para revisar sus sistemas y limpiarlos uno por uno. La misma variante también entró en los sistemas informáticos del New York Times, obligándolos a suspender sus operaciones durante un par de días.

Antes de que las empresas antivirus presentaran un parche, el costo total de los daños causados por Nimda se estimaba en unos 600 millones de dólares. Para los sistemas sin parches, la mejor manera de deshacerse del gusano informático implicaba reformatear todos los discos duros contaminados y reinstalar todo el software del sistema desde cero utilizando versiones parcheadas de forma segura.

Cómo proteger tu computadora del virus Nimda

Lo más importante que puedes hacer para prevenir la infección por Nimda es asegurarte de que el software de tu sistema y tu navegador de Internet tengan instalados los parches de seguridad más recientes. Por tu seguridad, nunca abras archivos adjuntos de correo electrónico ejecutables, especialmente de remitentes que no reconoces, y trata con sospecha incluso los archivos adjuntos de correo electrónico no ejecutables.

Te puede interesar: ¿Qué es el procesamiento del lenguaje natural (PLN) y cómo funciona?

Si crees que tu computadora o red ha sido infectada, haz lo siguiente:

  • Desconecta tu computadora de Internet y de tu red local
  • Restaura el software de tu sistema desde su punto de copia de seguridad más reciente o reformatea tus discos duros y reinstala todo usando versiones de software parcheadas.
  • Escanea tu sistema restaurado con el último software antivirus
  • Si el escaneo sale limpio, puedes volver a conectarte a Internet y a tu red local.

Una vez que hayas limpiado completamente tu sistema, asegúrate de instalar protección antivirus de tu proveedor confiable favorito.

El mejor software antivirus para un virus Nimda

La primera empresa que ideó una herramienta para eliminar Nimda fue un proveedor de software de ciberseguridad llamado Symantec, que ahora se conoce como NortonLifeLock. Su parche Nimda original se llamaba «FixNimda.com». Sus productos antivirus actuales incluyen Norton Security Suite, que se dedica a prevenir y eliminar malware.

Dado que Nimda contiene características que se asemejan a gusanos, virus y caballos de Troya, un simple programa antivirus puede no ser suficiente para mantenerlo a raya. Las tecnologías de seguridad creadas específicamente para detener intrusiones como Nimda incluyen sistemas de prevención/detección de intrusiones basados en host (HIDS/HIPS) y sistemas de prevención/detección de intrusiones basados en red (NIDS/NIPS).

HIDS y HIPS vigilan los archivos de registro locales utilizando firmas de síntomas de ataques conocidos para identificar actividades sospechosas y validar el tráfico de red entrante. NIDS y NIPS supervisan el flujo de tráfico de la red en busca de síntomas de un ataque de malware activo.

La mayoría del software de ciberseguridad actual viene empaquetado como un paquete de seguridad integral de protección de endpoints en lugar de simplemente un simple script antivirus. Los paquetes de software antivirus suelen incluir HIDS, HIPS, NIDS y NIPS, así como otros tipos de protección contra virus, gusanos, caballos de Troya, malware, ransomware, etc.

Si ejecutas un servidor, también puedes obtener un sistema de prevención/detección de intrusiones (IDS/IPS) más especializado como SolarWinds, OSSEC o Fail2Ban. Estos monitorearán activamente los archivos de registro de tu red y el tráfico en busca de actividades sospechosas causadas por Nimda y otros intrusos y te alertarán cuando suceda algo extraño o actualizarán las reglas de tu firewall para deshacerse de la amenaza.

Te puede interesar leer sobre: ¿Qué es un «Pi-Hole» y por qué necesitas uno?

Preguntas frecuentes

¿Nimda es un gusano o un virus?

Nimda tiene características de un gusano informático, ya que es capaz de propagarse automáticamente a través de las redes sin ninguna acción del usuario. También tiene características de un virus; puede infectar programas con copias de sí mismo.

¿Cómo actúa el virus Nimda?

El principal objetivo de Nimda es tratar de propagarse tanto como sea posible, lo que hace enviando archivos adjuntos de correo electrónico infectados, compartiendo archivos de sistema infectados a través de redes abiertas e infectando sitios web a través de vulnerabilidades en versiones anteriores del servidor IIS de Microsoft que ahora han sido parcheadas.

¿Cómo puedes protegerte de un virus Nimda?

La mayoría de los exploits con los que Nimda tuvo éxito se han solucionado, así que asegúrate de que tu sistema operativo y tu navegador estén ejecutando las últimas actualizaciones y que tengas instalado un paquete de seguridad antivirus.

¿Cuál es un ejemplo de virus Nimda?

Hay varias variantes del virus Nimda, cada una con cambios sutiles en su código malicioso y sus síntomas. Un ejemplo de uno de ellos es la variante Nimda.e, que envía archivos adjuntos de correo electrónico infectados llamados “SAMPLE.EXE” en lugar de “README.EXE”.

¿Quién creó el virus Nimda?

La primera variante de Nimda incluye una línea de texto que la atribuye a «RPChina». La variante Nimda.d cambió esta línea para que diga «Stephan Fernandez.Spain». La verdadera identidad del hacker que lo creó aún es incierta.

¿De dónde viene el virus Nimda?

Si un virus Nimda ha infectado tu computadora, es posible que provenga de un archivo adjunto de correo electrónico infectado, de un sitio web infectado que navegaste o de una computadora infectada en tu red compartida.

¿Qué daño hace el virus Nimda?

Qué daño hace el virus Nimda
Qué daño hace el virus Nimda

Los principales efectos de Nimda implican ralentizar las computadoras que infecta, ya que el gusano multivectorial utiliza los recursos de las computadoras para hacer tantas copias de sí mismo como pueda. Esta propagación maníaca hace que Nimda sea casi imposible de eliminar. El costo de los daños causados por reformatear y reinstalar el software en todos los sistemas que ha infectado se ha estimado en alrededor de 600 millones de dólares.

No te vayas sin leer: El virus CryptoLocker: cómo funciona y cómo protegerse

¿Por qué se llama Virus Nimda?

Una cadena de texto con derechos de autor en el Nimda Virus lo denominó «Concept Virus». Ya existía un virus con ese nombre, por lo que los investigadores de ciberseguridad comenzaron a llamarlo «Nimda» por la ortografía inversa de los archivos llamados «admin» que tiende a crear en las máquinas que infecta.

Deja un comentario