Worm.Nimda

Worm.Nimda(尼姆達病毒是一個新型蠕蟲病毒,由JavaScript腳本語言編寫,通過email、共享網路資源、IIS伺服器傳播,同時它也是一個感染本地檔案的新型病毒。病毒體長度57344位元組,它修改在本地驅動器上的。htm, .html和 .asp檔案。此病毒可以使IE和Outlook Express載入產生readme.eml檔案。該檔案將尼姆達蠕蟲作為一個附屬檔案包含,因此,不需要拆開或運行這個附屬檔案病毒就被執行。由於用戶收到帶毒郵件時無法看到附屬檔案,這樣給防範帶來困難,病毒也更具隱蔽性。

基本介紹

  • 外文名:Worm.Nimda
  • 關鍵字: Nimda
  • 內容分類: 蠕蟲病毒
  • 知識庫編號: RSV0512260
病毒簡介,傳播途徑,病毒破壞,解決方案,

病毒簡介

尼姆達(Worm.Nimda)病毒解決方案
適用作業系統:Windows 作業系統
適用作業系統補丁版本:全部補丁適用
2001年9月18日出現一種破壞力較強的新型病毒尼姆達,它在網際網路上開始蔓延。

傳播途徑

尼姆達病毒的傳播可以通過四種方式:
1)感染檔案
2)亂髮郵件
3)網路蠕蟲
4)區域網路傳播
--感染檔案
尼姆達病毒定位本機系統中的EXE檔案,並將病毒代碼置入原檔案體內,從而達到對檔案的感染,當用戶執行這些檔案的時候,病毒進行傳播。
--亂髮郵件
尼姆達病毒利用MAPI從郵件的客戶端及HTML檔案中搜尋郵件地址,然後將病毒傳送給這些地址,這些郵件包含一個名為README.EXE的附屬檔案,在某些系統(WindowsNT及Windows9x未安裝相應補丁)中該README.EXE能夠自動執行,從而感染整個系統。
--網路蠕蟲
尼姆達病毒還會掃描internet,試圖找到www主機,一旦找到這樣的伺服器,蠕蟲便會利用已知的系統漏洞來感染該伺服器,如果成功,蠕蟲將會隨機修改該站點的WEB頁,當用戶瀏覽該站點時,不知不覺中便被感染。
--區域網路傳播
尼姆達病毒還會搜尋本地網路的檔案共享,無論是檔案伺服器還是終端客戶機,一旦找到,便安裝一個隱藏檔案,名為RICHED20.DLL到每一個包含DOC和EML檔案的目錄中,當用戶通過word、寫字板、outlook打開DOC或EML文檔時,這些應用程式將執行RICHED20.DLL檔案,從而使機器被感染。同時該病毒還可以感染遠程的在伺服器被啟動的檔案。

病毒破壞

這個病毒降低系統資源,可能最後導致系統運行變慢最後宕機;它改變安全設定,在網路中共享被感染機器的硬碟,導致泄密;它不斷的傳送帶毒郵件。
紅色代碼藍色代碼不同的是,該病毒不僅針對伺服器,還對windows9x系統進行感染和破壞。
Worms.Nimda運行時,會搜尋本地硬碟中的HTM和HTML檔案和EXCHANGE信箱,從中找到EMAIL地址,並向這些地址發郵件;搜尋網路共享資源,並試圖將帶毒郵件放入別人的已分享資料夾中;利用CodeBlue病毒的方法,攻擊隨機的IP位址,如果是IIS伺服器,並未安裝補丁,就會中毒。該蠕蟲用它自己的SMTP伺服器去發出郵件。同時用已經配置好的DNS獲得一個mail伺服器的地址。
Worms.Nimda運行時,會查找本地的HTM/ASP檔案,將生成的帶毒郵件放入這些檔案中,並加入JavaScript腳本。這樣,每當該網頁被打開時,就會自動打開該染毒的readme.eml
Worms.Nimda感染本地PE檔案時,有兩種方法,一種是查找所有的WINDOWS應用程式(在HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Currentversion/AppPaths中),並試圖感染之,但不感染WINZIP32.EXE;第二種方法搜尋所有檔案,並試圖感染之。被感染的檔案會增大約57KB。如果用戶遊覽了一個已經被感染的web頁時,就會被提示下載一個.eml(OutlookExpress)的電子郵件檔案,該郵件的MIME頭是一個非正常的MIME頭,並且它包含一個附屬檔案,即此蠕蟲。這種郵件也可能是別人通過網路共享存入你的計算機中,也可能是在別人的已分享資料夾中,無論如何,只要你在WINDOWS的資源管理器中選中該檔案,WINDOWS將自動預覽該檔案,由於OutlookExpress的一個漏洞,導致蠕蟲自動運行,因此即使你不打開檔案,也可能中毒。
當這個蠕蟲執行的時候,它會在WINDOWS目錄下生成MMC.EXE檔案,並將其屬性改為系統、隱藏;它會用自己覆蓋SYSTEM目錄下的RICHED20.DLL,這個檔案是OFFICE套件運行的必備庫,WINDOWS的寫字板等也要用到這個動態庫,任何要使用這個動態庫的程式試圖啟動時,都會激活該它;它會將自己複製到SYSTEM目錄下,並改名為LOAD.EXE,這樣,在系統每次啟動時,將自動運行它;這個蠕蟲會在已經感染的計算機共享所有本地硬碟,同時,這個蠕蟲會以超級管理員的許可權建立一個guest的訪問帳號,以允許別人進入本地的系統。這個蠕蟲改變Explorer的設定這樣就讓它無法顯示隱藏檔案和已知檔案的擴展名。

解決方案

方案一:瑞星防毒軟體12.43版本可以查殺此病毒,瑞星用戶請升級到最新版本即可攔截此病毒。
方案二:手工解決方案
1.及時斷開所有的網路連線;
2.熱啟動,結束此蠕蟲病毒的進程;
3.在系統的temp檔案目錄下刪除病毒檔案;
4.使用乾淨無毒的 Riched20.DLL(約100k)檔案替換染毒的同名的Riched20.DLL檔案(57344位元組)
5.將系統目錄下的load.exe檔案(57344位元組)徹底刪除以及windows根目錄下的mmc.exe檔案;要在各邏輯盤的根目錄下查找Admin.DLL檔案,如果有Admin.DLL檔案的話,刪除這些病毒檔案,並要查找檔案名稱為Readme.eml的檔案,也要刪除它;
6.如果用戶使用的是Windows NT或Windows 2000的作業系統的計算機,那么要打開"控制臺",之後打開"用戶和密碼",將Administrator組中guest帳號刪除。
相關連結
????因尼姆達病毒具有傳播方式多,感染速度快等特點,所以對付此類病毒要做好充分的預防工作,及時打好預防此病毒的補丁程式,以防被此病毒再次感染。請參閱瑞星知識庫文章編號RSV0512261,“查殺Nimda病毒後,徹底解決漏洞及手工修復的方案”。

相關詞條

熱門詞條

聯絡我們