Nimda第一次是在2001年9月18日出現的病毒,隨著它在網際網路上的傳播,最終引起了整個網路的通信減緩。
病毒簡介,工作原理,
病毒簡介
Nimda第一次是在2001年9月18日出現的病毒,隨著它在網際網路上的傳播,最終引起了整個網路的通信減緩,它的傳播通過四個不同的方法,感染包括微軟的Web伺服器在內的計算機,網際網路信息伺服器(IIS)和打開電子郵件附屬檔案的用戶。和眾多以前的病毒一樣,Nimda的有效負載似乎是減緩通信本身-因此,除了消耗時間之外它不會出現破壞檔案或者導致其他損壞,這種情況下它可能因為太慢而訪問失敗與伺服器的聯繫或者因為通信損失會被伺服器拒絕。由於Nimda是的多尖端分叉的攻擊的,它似乎出現的同類型病毒里最麻煩的一個了。它的名字(是“admin”這個詞的倒置)很明顯是關於“admin.DLL”檔案,當它運行的時候就會持續不斷的繁殖病毒。
工作原理
- 它隨機選擇一定範圍的IP位址並對之進行刺探,嘗試找到該IP的機器上存在於IIS的弱點。一個有著暴露的IISWeb伺服器的系統會讀取包含了植入式JavaScript的網頁並自動執行它,在該伺服器上所有的網頁里生成相同的代碼。
- 當使用IE5.01或者更早版本的IE瀏覽器的用戶訪問被感染Web伺服器的時候,他們就會不知不覺得下載帶有自動執行JavaScript的頁面,導致病毒被隨機地傳送到連線在網際網路上的其他計算機。
- Nimda也能感染Web伺服器所在的網路里的有網路共享(部分的檔案空間)的用戶。
- 最後,Nimda會讓一個被感染系統傳送帶有readme.exe附屬檔案的電子郵件給本地Windows地址簿里列出的地址。打開或者預覽這一附屬檔案(這是一個帶有JavaScript的網頁)的用戶將繼續傳播這個病毒。
