Le ver Nimda (anglais : Nimda Worm) est un logiciel malveillant. Son nom vient de l'orthographe inversée de "admin".
Le ver se transmet en s'envoyant lui-même par courriel à toutes les personnes du carnet d'adresse Outlook, tente d'infecter un serveur Microsoft IIS si présent et recherche les éventuels dossiers partagés pour y laisser une copie de lui-même.
Le ver utilise une faille, connue sous le nom de Unicode Web Traversal exploit [1], qui permettait en modifiant les données d'une URL de passer outre au contrôle de l'utilisateur et de forcer l'installation du logiciel. Il pouvait donc s'installer sur simple visite d'un site infecté.
Pour se transmettre par courriel, le ver utilise une faille de l'implémentation de MIME par Microsoft Internet Explorer, lui permettant de s'exécuter sur simple prévisualisation du courriel dans Microsoft Outlook, sans prévenir l'utilisateur. [2]
Lors d'une visite d'un site infecté, le navigateur propose le téléchargement d'un fichier .eml qui contient, en pièce jointe, une copie du ver. Sur certains systèmes, le téléchargement se fait automatiquement (faille IFRAME) et le fichier s'exécute sans l'avis de l'utilisateur.
Le fichier infecté peut prendre différents noms (il existe 9 variantes de Nimda), la première version est :
Via TFTP, le ver tente de se copier sur un serveur IIS vulnérable, sous les caractéristiques suivantes :
Ce fichier redirige les visiteurs du site vers des scripts JavaScript infectés qui provoquent la lecture de Readme.eml, contenant README.EXE, le fichier contenant le ver.
Une fois lancé, le ver se copie sur tous les emplacements disponibles : disquettes, disques durs, CD et dossiers partagés. Il ouvre également une porte dérobée (backdoor) permettant à un hacker l'accès à l'ordinateur. Le ver se crée également un compte administrateur.
Le ver n'hésite pas à effacer des fichiers pour se copier. Enfin, il utilise le logiciel Microsoft Outlook pour s'envoyer à tous les contacts de la victime. Puis, tous les 10 jours, il se renvoie aux contacts de la victime.
Les nombreuses connexions établies par le ver ralentissent les performances globales et réseau de l'ordinateur infecté.
Le ver recherche les fichiers listés dans :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folder
Pour se copier à leur place.
Le ver se copie sous le nom Riched20.dll, un fichier normalement utilisé par les programmes tels que Microsoft Word, ce qui lui assure d'être lancé en même temps que ces programmes d'un usage courant.
Le ver se copie sous le nom C:\Windows\System\load.exe et se lance à chaque démarrage.
Le seul fichier épargné par Nimda est Winzip32.exe.
Seuls les systèmes suivants peuvent être affectés par le ver Nimda :