79 Worms. nimda病毒 Worms. nimda病毒是一个新型蠕虫,也是一个病 毒,它通过 email,、共享网络资源、IS服务器传 播。同时,它也是一个感染本地文件的新型病毒。 Worms. nimda运行时搜索本地硬盘中的HTM HTML文件和 EXCHANGE邮箱,从中找到EMAL 地址,并向这些地址发送邮件;搜索网络共享资 源,并试图将带毒邮件放入别人的共享目录;利 用 Code Blue病毒的方法攻击随机P地址,如果是 未安装补丁的s服务器就会中毒。该蠕虫用它自 己的SMTP服务器发送邮件,同时用已经配置好 的DNS获得一个ma服务器地址
7.9 Worms.Nimda病毒 Worms.Nimda病毒是一个新型蠕虫,也是一个病 毒,它通过email、共享网络资源、IIS服务器传 播。同时,它也是一个感染本地文件的新型病毒。 Worms.Nimda运行时搜索本地硬盘中的HTM 、 HTML文件和EXCHANGE邮箱,从中找到EMAIL 地址,并向这些地址发送邮件;搜索网络共享资 源,并试图将带毒邮件放入别人的共享目录;利 用CodeBlue病毒的方法攻击随机IP地址,如果是 未安装补丁的IIS服务器就会中毒。该 蠕虫用它自 己的SMTP服务器发送邮件,同时用已经配置好 的DNS获得一个mail服务器地址
该病毒的破坏性主要是针对计算机系统的漏洞 进行自我复制和传播,从而大大降低计算机运 行速度和引起网络阻塞。 Worms. nimda运行时查找本地的 HTMIASP文 件,将生成的带毒邮件放入这些文件中,并加 入 JavaScrip脚本。这样,每当该网页被打开 时,就会自动打开该染毒的 readme. em。 Worms. nimda用两种方法感染本地PE文件: 种是查找所有的 WINDOWS应用程序(在 HKEY LOCAL MACHINE Software/Microsoft/windows/Currentversi on/ App Paths中),并试图感染,但不感染 VNzP32EXE;第二种方法搜索所有文件, 并试图感染,被感染的文件会增大约57KB
该病毒的破坏性主要是针对计算机系统的漏洞 进行自我复制和传播,从而大大降低计算机运 行速度和引起网络阻塞。 Worms.Nimda运行时查找本地的HTM/ASP 文 件,将生成的带毒邮件放入这些文件中,并加 入JavaScript脚本。这样,每当该网页被打开 时,就会自动打开该染毒的readme.eml 。 Worms.Nimda用两种方法感染本地PE文件: 一种是查找所有的WINDOWS应用程序 ( 在 HKEY_LOCAL_MACHINE/ Software/Microsoft/Windows/Currentversi on/App Paths 中 ),并试图感染,但不感染 WINZIP32.EXE;第二种方法搜索所有文件, 并试图感染,被感染的文件会增大约57KB
如果用户浏览一个已经被感染的web页时,会被提 示下载一个em( Outlook Express)的电子邮件文件。 该邮件的MME头是一个非正常的MME头,它包含 个附件-即此蠕虫。 这种邮件也可能是别人通过网络共享存入你的计算 机,也可能是在别人的共享目录中。 只要在 WINDOWS的资源管理器中选中该文件, WINDOWS将自动预览该文件。 由于 Outlook Express的一个漏洞导致蠕虫自动运 行,因此,即使不打开文件也可能中毒。 目前NMDA病毒可能给用户造成直接损失是其把传 染计算机的C盘设为无密码的完全共享,可能会导 致用户文件被恶意的攻击者利用而遭到复制、删除、 修改甚至格式化硬盘等等
如果用户浏览一个已经被感染的web页时,会被提 示下载一个.eml(Outlook Express)的电子邮件文件。 该邮件的MIME头是一个非正常的MIME头,它包含 一个附件--即此蠕虫。 这种邮件也可能是别人通过网络共享存入你的计算 机,也可能是在别人的共享目录中。 只要在WINDOWS的资源管理器中选中该文件, WINDOWS将自动预览该文件。 由于Outlook Express的一个漏洞导致蠕虫自动运 行,因此,即使不打开文件也可能中毒。 目前NIMDA病毒可能给用户造成直接损失是其把传 染计算机的 C盘设为无密码的完全共享,可能会导 致用户文件被恶意的攻击者利用而遭到复制、删除、 修改甚至格式化硬盘等等
清除该病毒的基本方法是: 1、结束其中进程名称为“ XXX.tmp. exe”以及 “ Load.exe”的进程(xX为任意文件名) 2、删除系统temp文件夹中文件长度为57344 的文件 3、删除系统 System文件夹中的长度为57344 字节的 Riched20DLL文件及 loadexe 4、打开 System. ini文件,在[oad]中如果有 shell=explorer. exe load.exe dontrunold”,则改为“she|= explorer. exe” 5、在硬盘区的根目录下寻找 Admin. DLL文件, 如果在根目录下存在该文件,则删除它
清除该病毒的基本方法是: 1、结束其中进程名称为“xxx.tmp.exe”以及 “Load.exe”的进程(xxx为任意文件名) 2、删除系统temp文件夹中文件长度为57344 的文件 3、删除系统System文件夹中的长度为57344 字节的Riched20.DLL文件及load.exe 4、打开System.ini文件,在[load]中如果有一 行 “ shell=explorer.exe load.exe - dontrunold”,则改为“shell=explorer.exe” 5、在硬盘区的根目录下寻找Admin.DLL文件, 如果在根目录下存在该文件,则删除它
6、打开“控制面板|用户和密码”,将 Administrator组中的 guest帐号删除 7、把C盘的完全共享取消掉 8、搜索整个硬盘,把所有 readme.eml 的文件删除,这时在没有对系统进行免 疫修复前,请不要点击任何 readme. em 文件,用ctrl+A选取全部 readme.em文 件,删除掉,如果单击了单个 readme. em文件,NMDA病毒将利用 系统漏洞重新运行
6、打开“控制面板|用户和密码”,将 Administrator组中的guest帐号删除 7、把 C盘的完全共享取消掉 8、搜索整个硬盘,把所有readme.eml 的文件删除,这时在没有对系统进行免 疫修复前,请不要点击任何readme.eml 文件,用ctrl+A选取全部readme.eml 文 件,删除掉,如果单击了单个 readme.eml文件,NIMDA病毒将利用 系统漏洞重新运行