针对Nimda（尼姆达）标本兼治的安全解决方案 - 网络安全 - 遗憾

(这条文章已经被阅读了 194 次) 时间：2001-09-20 17:35:43 来源：遗憾 (遗憾) 原创-IT

针对Nimda（尼姆达）标本兼治的安全解决方案
一、Nimda黑客蠕虫病毒情况简介
肆虐全球的CodeRed红色代码蠕虫病毒的余波尚未平息，各网管还未来得及松一口气，又一种破坏力极强的新病毒已经开始象野火一样开始在互联网上蔓延开来，这种名为Nimda “尼姆达”的病毒于18日上午9：08被发现，半小时之内就传遍了世界，其传播范围和破坏程度将大大超过前一段时间极度肆虐的“红色代码”病毒。
据相关的报告，我国各地均有病毒的感染案例，由于此病毒能通过多种方法攻击Win32系统，一种方法不行它会尝试另外一种方法攻击，直至成功，其攻击对网络造成的通信阻塞是空前的。目前已有多家报告因受此病毒攻击，造成网络瘫痪，其危害性不言而喻。
那么，这种病毒是通过何种手段造成如此巨大的破坏呢？
这个名为Nimda “尼姆达”的蠕虫病毒与以往的蠕虫病毒有很大不同，它可通过三种方式传播：Email附件、HTTP、硬盘共享，并且能感染所有32位Windows操作系统：Windows 98/Me, NT，2000, XP。这种新病毒也是利用运行于视窗NT或视窗2000上的微软互联网服务器软件存在的安全隐患展开攻击，这一点与“红色代码”病毒相同,但它同时也可以感染客户端。即用户在浏览染毒的网页时就可能会受到感染。此病毒还通过Ooutlook，Outlook Express邮件客户端传播，会在用户访问带毒的邮件时在用户毫不知晓的情况下感染用户的系统，这一点又与前一段时间流行的邮件蠕虫病毒Happytime很相似。此外，它对系统共享也作了手脚，为每个盘符创建网络共享。在 Win9x/ME系统上，该共享被设置为完全共享，无需密码。在WinNT/2K系统上，GUEST用户被赋予管理员权限，并得到共享权限。在网络共享这一方面，又与Funlove病毒相似。
从上面的分析可以看到，此新病毒集各家之所长，从多方面利用了系统的漏洞，所以该种黑客蠕虫病毒的危害性非常大，并且来势汹汹，事实上这种黑客蠕虫病毒已经远远超越了反病毒的范畴，而且从最近病毒爆发的情况来看，这种病毒代表了未来病毒的发展趋势。通过单一的防病毒产品很难解决Nimda及未来的各种类似病毒，治理Nimda们需要一个完善的安全解决方案。
二、整体解决方案
当务之急是我们要先解决和防御Nimda带来的破坏，另外我们需要比以往任何时候都要重视网络安全的问题，通过构建自身有效的安全防御系统来亡羊补牢、防患于未然。
解决然眉之急——Nimda的清查方案
可按照如下步骤手动清毒：
１，从微软网站http://www.microsoft.com/technet/security/bulletin/ms00-078.asp和http://www.microsoft.com/technet/security/bulletin/MS01-020.asp 下载相应补丁并执行，然后关闭本机的所有共享。
２，按ctrl-alt-del，结束 “xxx.tmp.exe”以及“Load.exe”的进程。
３，删除temp目录中的文件。
４，用干净的 Riched20.DLL（大约100k）文件替换染毒的同名Riched20.DLL文件（57344字节）。
５，删除系统目录下的load.exe文件（57344字节），windows根目录下的mmc.exe文件，在C:\、D:\、E:\三个逻辑盘的根目录下如果有Admin.DLL文件，删除这些文件，查找文件名为Readme.eml的文件，删除它。
６， System.ini文件[load]中如果有一行“shell=explorer.exe load.exe -dontrunold”，改为“shell=explorer.exe”
７， 删除HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Network\LanMan\ 和HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\MapMail\ 的键值。
８， 如果是WinNT或者Win2000，打开“控制面板|用户和密码”，将Administrator组中的guest帐号删除。
KILL的最新病毒特征码28.06已可查杀此病毒。
防患于未然——整体安全方案
1、从最近几次病毒的大规模爆发可看到，它们的肆虐主要是利用了系统的漏洞，如这次Nimda就利用了Microsoft Web Folder Transversal漏洞(W32/CodeBlue病毒也使用了此漏洞)和 Microsoft incorrect MIME Header 漏洞。它还利用了W32/CodeRed.c蠕虫创建的后门。如果服务器的安全性足够高，不存在可利用的安全漏洞和隐患的话，Nimda和未来的Nimda们则没有发作或传播的可能性。所以我们根治Nimda和类似黑客蠕虫病毒的方法是提高服务器系统本身的安全性，我们建议使用冠群金辰公司的eTrust Policy Compliance定期扫描操作系统以及数据库系统的安全漏洞及错误配置，加强系统安全性，以做到事先预防，而不是事后的“亡羊补牢”。
2、在网络的关键网段中部署冠群金辰公司的eTrust Intrusion Detection（入侵监测），可提供主动的网络保护，自动探测网络流量中可能涉及潜在入侵、攻击和滥用的模式，并且在系统受到影响之前根据预定义策略采用适当的措施，实现对网络的安全监控和保护。该软件在CodeRed病毒流行时就对发现、定位病毒源及采取相应措施方面立下了汗马功劳。

文章评论:针对Nimda（尼姆达）标本兼治的安全解决方案 - 九点 - 2001-09-21 16:28:34
感谢提供！！！

RE:文章评论:针对Nimda（尼姆达）标本兼治的安全解决方案 - 温柔大盗 - 2001-09-22 02:12:20
【(温柔大盗)回复(九点)的大作】
者  帖子主题： 文章评论:针对Nimda（尼姆达）标本兼治的安全解决方案 
贾东平 

          相关文章:针对Nimda（尼姆达）标本兼治的安全解决方案 
发表于：01年09月21日 15:00  └ 〖直接回复〗 〖引用回复〗 
--------------------------------------------------------------------------------
感谢老兄的讲解。：）