(这条文章已经被阅读了 127 次) 时间:2001-10-25 17:26:00 来源:扁豆老哥魏威 (扁豆老哥) 原创-IT
“尼姆达”(Nimda)病毒(金山称之为“概念”病毒,江民称之为“中国一号”病毒)。这是一个新的使用多种方法进行传播的大规模发送邮件蠕虫病毒(mass-mailing worm)。它由多种传播方式:既可以通过mail发送自己,也能搜索公开的网络共享资源,试图复制自己到未打补丁或是已经受攻击的Microsoft IIS web服务器,还能同时感染本地或是远程的网络共享文件。所以虽然至今为止尚未发现它有删除计算机内文件或数据的能力,但由于其极强的传播性和大规模发送邮件导致对受害计算机和网络资源的侵占性,仍然受到了极大的重视。
当该蠕虫随邮件到达后,它利用了一个MIME的漏洞,使用户无论是阅读还是哪怕只是预览邮件都将执行该病毒。关于这个漏洞的补丁或是相关信息可以在
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp找到。
该病毒利用了IIS的Unicode Web Traversal漏洞(就是CodeBlue利用的同一种漏洞),你可以在http://www.microsoft.com/technet/security/bulletin/ms00-078.asp找到关于该漏洞的补丁和相关信息。
用户在访问被感染的Web服务器时将被提示下载一个.eml(Outlook Express)email文件,该文件的附件就是这个蠕虫病毒。这个.eml文件也是利用的上述的MIME漏洞。用户可以在自己的internet security zones(internet安全区域)禁止文件下载以防被感染。
而且,该病毒还在被感染的计算机上创建公开的网络共享,允许对系统的访问。在这个过程中它会创建一个拥有管理员权限的guest账号。
如何判断已被感染?
可以通过下列三个症状:
出现了C:ADMIN.DLL、D:ADMIN.DLL和E:ADMIN.DLL文件。
出现了README.EML文件。
发现突然出现的公开网络共享。
那么病毒是如何通过email传播的呢?
病毒Email的主题行是不确定的,消息部分为空,附件名也不定但可能使用IT HTML文件的图标。
在用户收到病毒邮件并将病毒激活后,该病毒会先搜索email地址,再开始大规模发送邮件。它不仅从本地系统的.htm和.html文件中搜索email地址,还使用了MAPI函数读取用户的email并从中读取SMTP地址和email地址。所有支持MAPI的邮件客户端程序(包括Microsoft Outlook和Outlook Express)都将无法幸免。病毒把找到的地址分别填在邮件的To:和From:地址栏上,因此,您如果收到病毒邮件,该邮件的From:地址栏上的邮件地址并不一定是受害者的真实地址。
它使用设置的DNS条目来获得一个邮件服务器纪录(MX纪录)并用来作为发送邮件的SMTP服务器。
接着,它更改浏览器设置,从而不显示隐藏文件和已知的文件扩展名。
然后,它在管理员组中添加guest用户,使guest拥有管理员权限。另外,它还将C盘共享(不需要重启)。
要想删除它,除了基本的用杀毒软件杀除之外,还要在system.ini中的Shell=条目下删除:load.exe -dontrunold,关闭(被病毒打开的)不必要的网络共享,如果有必要的话还要从管理员组中删除guest账号。虽然已经有媒体公布了一些手动删除的步骤,但由于步骤比较繁琐,建议非专业用户不要轻易尝试
手工清除’尼姆达“蠕虫
最新闪亮登场的的’概念”(又称尼姆达)蠕虫,预测其破坏性极为巨大,如果用户您不幸深中此毒,大为恐慌之余,还需保持冷静,国内第一家首次发现此病毒的金山公司教您手工清除它,且请用户按照如下方法一步一步进行手动清除:
1、打开进程管理器,查看进程列表;
2、结束其中进程名称为“xxx.tmp.exe”以及“Load.exe”的进程(其中xxx为任意文件名);
3、切换到系统的TEMP目录,寻找文件长度为57344的文件,删掉它们;
4、切换到系统的System目录,寻找名称为Riched20.DLL的文件;
5、查看Riched20.DLL的文件大小,系统的正常文件大小应该在100K以上,而Concept病毒的副本大小为57344字节,如果有长度为57344字节的Riched20.DLL,删掉它;
6、继续在系统的System目录下寻找名称为load.exe、长度为57344字节的文件,删掉它;
7、在C:、D:、E:三个逻辑盘的根目录下寻找Admin.DLL文件,如果在根目录下存在该文件,则删除它;
8、打开System.ini文件,在[load]中如果有一行“shell=explorer.exe load.exe -dontrunold”,则改为“shell=explorer.exe”;
9、如果是WinNT或者Win2000以及WinXP系统,则打开“控制面板|用户和密码”,将Administrator组中的guest帐号删除;
10、打开共享文件夹管理,将共享“C$”去除,该共享为本地C:的完全共享;
11、搜索整个机器,查找文件名为Readme.eml的文件,如果文件内容中包含
“
”
以及
“Content-Type: audio/x-wav;
name=’readme.exe’
Content-Transfer-Encoding: base64
”,则删掉该文件。
只要用户您认真仔细地依照上述方法步骤,便可做到手动清除新“概念”(又称尼姆达)蠕虫,赶快行动吧!
还有就是下载工具了
http://www.iduba.net/download/other/tool_010919_concept.htm