Worm.Nimda.i適用作業系統:Windows 作業系統,適用作業系統補丁版本:全部補丁適用
基本介紹
- 中文名:Worm.Nimda.i
- 警惕程度:★★★★
- 發作時間:隨機
- 病毒類型:蠕蟲病毒
病毒簡介,病毒特性,
病毒簡介
尼姆達變種I(Worm.Nimda.i)病毒檔案
知識庫編號: RSV0512262
內容分類: 蠕蟲病毒
關鍵字: 尼姆達變種I;Worm.Nimda.i
尼姆達變種I(Worm.Nimda.i)病毒檔案
病毒評估
傳播方式:區域網路/檔案
感染對象:系統檔案
依賴系統: WIN9X//NT/2000/XP
病毒介紹
病毒特性
1、將被感染檔案藏於自己體內。
該病毒的感染沿襲了原尼姆達病毒的感染方式,病毒運行時會查詢註冊表SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths的值,感染該項里的所有註冊檔案。感染時會將目標檔案放入病毒的資源段內,即病毒不是將自身代碼插入被感染的檔案體內,而是直接將被感染檔案“吞”到自己的肚子裡。然後病毒會將自己的檔案名稱改成被感染檔案的檔案名稱,進行李代桃僵。當不知情的用戶想運行原來的檔案時,病毒便會首先取得運行權,然後從自己體內將原來的檔案釋放出來並執行,使用戶無法查覺到異常。
2、運行時藏身IE體內。
病毒會通過查詢註冊表信息得到IE(Explorer)的進程號,然後將病毒體注入到IE的進程空間內。如果成功病毒將在explorer進程空間中執行病毒的主體,這樣病毒運行時就能躲過一些對記憶體比較了解的用戶的查看。
3、以高優先權進行循環傳染。
?病毒運行時會提升自己的執行緒優先權,並且每隔30秒就重複一次傳染流程,將導致系統資源極大浪費。
4、快速的區域網路傳播。
病毒運行時會枚舉區域網路內的所有計算機,並對其已分享資料夾進行搜尋,當病毒發現有系統檔案時就嘗試感染該檔案。如被搜尋目錄存在doc檔案時,病毒便會將自己複製到該目錄下,並將自身命名為:_setup.exe和riched20.dll。只要用戶雙擊該doc檔案,系統便會自動執行這兩個病毒檔案,造成病毒在被感染的計算機上被激活,導致病毒再一次重複感染動作。
5、嚴重的泄密特性
病毒運行時還將激活當前系統的guest賬號並將其加入到管理員組中,使其具有管理員的許可權,然後病毒就能通過該通道進行非法操作。病毒還會將當前的a至z盤變成共享,使任何外界的黑客程式都可以無障礙地訪問計算機中的信息,並且病毒還會感染這些共享磁碟中的所有系統檔案,使其全部帶毒。
解決方案
瑞星防毒軟體15.40.11版本可以徹底查殺此病毒。
