尼姆達

它能夠通過多種傳播渠道進行傳染，傳染性極強。對於個人用戶的PC機，“尼姆達”可以通過郵件、網上即時通訊工具和“FTP程式”同時進 行傳染；對於伺服器，“尼姆達”則採用和“紅色代碼”病毒相似的途徑，即攻擊微軟伺服器程式的漏洞進行傳播。由於該病毒在自身傳染的過程中占用大量的網路 頻寬和計算機的內部資源，因此許多企業的網路現在受到很大的影響，有的甚至已經癱瘓，就個人使用的PC機來說，速度也會有明顯的下降。

“尼姆達”新變種命名為Worm.Concept.118784。其特點是在病毒原始碼中有一段說明：Concept Virus(CV)V.6,Copyright(C)2001,(This's CV,No Nimda.)。（意思是：這是概念病毒，不是尼姆達病毒。）它在尼姆達病（Worm.Concept.57344）上做的改動有：

l 附屬檔案名從Readme.exe改為Sample.exe；

l 感染IIS系統時生成的檔案從Admin.dll改為Httpodbc.dll；

l 在NT/2000及相關係統，病毒拷貝自己到Windows的system目錄下，不再叫mmc.exe，而用Csrss.exe的名字。

"尼姆達(W32.Nimda.A@mm)"專殺工具

ftp://ftp./Pub/AntiVirus/Duba_Concept.EXE

"尼姆達(W32.Nimda.A@mm)"病毒手工修複方法：

請用戶按照如下方法一步一步進行手動清除：

1、打開進程管理器，查看進程列表；

2、結束其中進程名稱為“xxx.tmp.exe”以及“Load.exe”的進程（其中xxx為任意檔案名稱）；

3、切換到系統的TEMP目錄，尋找檔案長度為57344的檔案，刪掉它們；

4、切換到系統的System目錄，尋找名稱為Riched20.DLL的檔案；

5、查看Riched20.DLL的檔案大小，系統的正常檔案大小應該在100K以上，而Concept

病毒的副本大小為57344位元組，如果有長度為57344位元組的Riched20.DLL，刪掉它；

6、繼續在系統的System目錄下尋找名稱為load.exe、長度為57344位元組的檔案，刪掉它；

7、在C:\、D:\、E:\三個邏輯盤的根目錄下尋找Admin.DLL檔案，如果在根目錄下存在該檔案，則刪除它；

8、打開System.ini檔案，在[load]中如果有一行“shell=explorer.exe load.exe -dontrunold”，則改為“shell=explorer.exe”；

9、如果是WinNT或者Win2000以及WinXP系統，則打開“控制臺|用戶和密碼”，將Administrator組中的guest帳號刪除；

10、打開已分享檔案夾管理，將共享“C$”去除，該共享為本地C:\的完全共享；

11、搜尋整個機器，查找檔案名稱為Readme.eml的檔案，如果檔案內容中包含

“<HTML><HEAD></HEAD><BODY bgColor=3D#ffffff>

<iframe src="/blog/3Dcid:EA4DMGBP9p" height=3D0 width=3D0>

</iframe></BODY></HTML> ”

以及

“Content-Type: audio/x-wav;

name="readme.exe"

Content-Transfer-Encoding: base64”，則刪掉該檔案。

只要用戶您認真仔細地依照上述方法步驟，便可做到手動清除新“概念”蠕蟲，趕快行動吧！

ftp://ftp.seu./incoming/Document/IIS_UNICODE_patch/