尼姆達

尼姆達

“尼姆達”病毒2001年9月18日在全球蔓延,是一個傳播性非常強的黑客病毒。它以郵件傳播、主動攻擊伺服器、即時通訊工具傳播、FTP協議傳播、網頁瀏覽傳播為 主要的傳播手段。

介紹


尼姆達
尼姆達
它能夠通過多種傳播渠道進行傳染,傳染性極強。對於個人用戶的PC機,“尼姆達”可以通過郵件、網上即時通訊工具和“FTP程序”同時進 行傳染;對於伺服器,“尼姆達”則採用和“紅色代碼”病毒相似的途徑,即攻擊微軟伺服器程序的漏洞進行傳播。由於該病毒在自身傳染的過程中佔用大量的網路 帶寬和計算機的內部資源,因此許多企業的網路現在受到很大的影響,有的甚至已經癱瘓,就個人使用的PC機來說,速度也會有明顯的下降。

新變種病毒


“尼姆達”新變種命名為Worm.Concept.118784。其特點是在病毒源代碼中有一段說明:Concept Virus(CV)V.6,Copyright(C)2001,(This's CV,No Nimda.)。(意思是:這是概念病毒,不是尼姆達病毒。)它在尼姆達病(Worm.Concept.57344)上做的改動有:
l 附件名從Readme.exe改為Sample.exe;
l 感染IIS系統時生成的文件從Admin.dll改為Httpodbc.dll;
l 在NT/2000及相關係統,病毒拷貝自己到Windows的system目錄下,不再叫mmc.exe,而用Csrss.exe的名字。

修復方法


方法一

"尼姆達(W32.Nimda.A@mm)"專殺工具
ftp://ftp./Pub/AntiVirus/Duba_Concept.EXE

方法二

"尼姆達(W32.Nimda.A@mm)"病毒手工修復方法:
請用戶按照如下方法一步一步進行手動清除:
1、打開進程管理器,查看進程列表;
2、結束其中進程名稱為“xxx.tmp.exe”以及“Load.exe”的進程(其中xxx為任意文件名);
3、切換到系統的TEMP目錄,尋找文件長度為57344的文件,刪掉它們;
4、切換到系統的System目錄,尋找名稱為Riched20.DLL的文件;
5、查看Riched20.DLL的文件大小,系統的正常文件大小應該在100K以上,而Concept
病毒的副本大小為57344位元組,如果有長度為57344位元組的Riched20.DLL,刪掉它;
6、繼續在系統的System目錄下尋找名稱為load.exe、長度為57344位元組的文件,刪掉它;
7、在C:\、D:\、E:\三個邏輯盤的根目錄下尋找Admin.DLL文件,如果在根目錄下存在該文件,則刪除它;
8、打開System.ini文件,在[load]中如果有一行“shell=explorer.exe load.exe -dontrunold”,則改為“shell=explorer.exe”;
9、如果是WinNT或者Win2000以及WinXP系統,則打開“控制面板|用戶和密碼”,將Administrator組中的guest帳號刪除;
10、打開共享文件夾管理,將共享“C$”去除,該共享為本地C:\的完全共享;
11、搜索整個機器,查找文件名為Readme.eml的文件,如果文件內容中包含
<iframe src="/blog/3Dcid:EA4DMGBP9p" height=3D0 width=3D0>
以及
“Content-Type: audio/x-wav;
name="readme.exe"
Content-Transfer-Encoding: base64”,則刪掉該文件。
只要用戶您認真仔細地依照上述方法步驟,便可做到手動清除新“概念”蠕蟲,趕快行動吧!

漏洞補丁


ftp://ftp.seu./incoming/Document/IIS_UNICODE_patch/