尼姆達

“尼姆達” 病毒2001年9月18日在全球蔓延,是一個傳播性非常強的黑客病毒。它以郵件傳播、主動攻擊伺服器、即時通訊工具傳播、FTP協定傳播、網頁瀏覽傳播為 主要的傳播手段。

基本介紹

  • 中文名:尼姆達
  • 全球蔓延:2001年9月18日
  • 傳播性:非常強
  • 傳播郵件
介紹,新變種病毒,修複方法,方法一,方法二,漏洞補丁,

介紹

它能夠通過多種傳播渠道進行傳染,傳染性極強。對於個人用戶的PC機,“尼姆達”可以通過郵件、網上即時通訊工具和“FTP程式”同時進 行傳染;對於伺服器,“尼姆達”則採用和“紅色代碼”病毒相似的途徑,即攻擊微軟伺服器程式的漏洞進行傳播。由於該病毒在自身傳染的過程中占用大量的網路 頻寬和計算機的內部資源,因此許多企業的網路現在受到很大的影響,有的甚至已經癱瘓,就個人使用的PC機來說,速度也會有明顯的下降。
尼姆達

新變種病毒

“尼姆達”新變種命名為Worm.Concept.118784。其特點是在病毒原始碼中有一段說明:Concept Virus(CV)V.6,Copyright(C)2001,(This's CV,No Nimda.)。(意思是:這是概念病毒,不是尼姆達病毒。)它在尼姆達病(Worm.Concept.57344)上做的改動有:
l 附屬檔案名從Readme.exe改為Sample.exe;
l 感染IIS系統時生成的檔案從Admin.dll改為Httpodbc.dll;
l 在NT/2000及相關係統,病毒拷貝自己到Windows的system目錄下,不再叫mmc.exe,而用Csrss.exe的名字。

修複方法

方法一

"尼姆達(W32.Nimda.A@mm)"專殺工具
ftp://ftp./Pub/AntiVirus/Duba_Concept.EXE

方法二

"尼姆達(W32.Nimda.A@mm)"病毒手工修複方法:
請用戶按照如下方法一步一步進行手動清除:
1、打開進程管理器,查看進程列表;
2、結束其中進程名稱為“xxx.tmp.exe”以及“Load.exe”的進程(其中xxx為任意檔案名稱);
3、切換到系統的TEMP目錄,尋找檔案長度為57344的檔案,刪掉它們;
4、切換到系統的System目錄,尋找名稱為Riched20.DLL的檔案;
5、查看Riched20.DLL的檔案大小,系統的正常檔案大小應該在100K以上,而Concept
病毒的副本大小為57344位元組,如果有長度為57344位元組的Riched20.DLL,刪掉它;
6、繼續在系統的System目錄下尋找名稱為load.exe、長度為57344位元組的檔案,刪掉它;
7、在C:\、D:\、E:\三個邏輯盤的根目錄下尋找Admin.DLL檔案,如果在根目錄下存在該檔案,則刪除它;
8、打開System.ini檔案,在[load]中如果有一行“shell=explorer.exe load.exe -dontrunold”,則改為“shell=explorer.exe”;
9、如果是WinNT或者Win2000以及WinXP系統,則打開“控制臺|用戶和密碼”,將Administrator組中的guest帳號刪除;
10、打開已分享檔案夾管理,將共享“C$”去除,該共享為本地C:\的完全共享;
11、搜尋整個機器,查找檔案名稱為Readme.eml的檔案,如果檔案內容中包含
“<HTML><HEAD></HEAD><BODY bgColor=3D#ffffff>
<iframe src="/blog/3Dcid:EA4DMGBP9p" height=3D0 width=3D0>
</iframe></BODY></HTML> ”
以及
“Content-Type: audio/x-wav;
name="readme.exe"
Content-Transfer-Encoding: base64”,則刪掉該檔案。
只要用戶您認真仔細地依照上述方法步驟,便可做到手動清除新“概念”蠕蟲,趕快行動吧!

漏洞補丁

相關詞條

熱門詞條

聯絡我們