基本介紹
- 中文名:尼姆達病毒
- 外文名:Nimda
- 類型:蠕蟲病毒
- 毒體長度:57344位元組
- 傳播路徑:網路
特徵,感染方式,傳播途徑,感染檔案,郵件亂髮,網路蠕蟲,區域網路,變種,解決方案,手工清除,脫機清除,
特徵
尼姆達病毒2001年9月18日在全球蔓延,傳播性非常強的惡意病毒。以郵件、主動攻擊伺服器、即時通訊工具、FTP協定、網頁瀏覽傳播。能夠通過多種傳播渠道進行傳染。對於個人用戶的PC機,“尼姆達”可以通過郵件、網上即時通訊工具和“FTP程式”同時進行傳染。對於伺服器,“尼姆達”則採用和紅色代碼病毒相似的途徑,即攻擊微軟伺服器程式的漏洞進行傳播。由於該病毒在自身傳染的過程中占用大量的網路頻寬和計算機的內部資源,因此許多企業的網路受到很大的影響,甚至癱瘓,個人PC機速度也會有明顯的下降。
尼姆達病毒
尼姆達病毒尼姆達病毒傳送染毒郵件,還會感染EXE檔案。當時聲稱能處理該病毒的反病毒公司(防毒軟體)都採取刪除染毒檔案的方式防毒,導致很多重要程式不能運行。
W32.Nimda.A@mm蠕蟲通過多種方式進行傳播,流傳播手段:
感染方式
Worms.Nimda運行時,會搜尋本地硬碟中的HTM和HTML檔案和EXCHANGE信箱,從中找到EMAIL地址,並傳送郵件;搜尋網路共享資源,並將病毒郵件放入別人的共享目錄中;利用CodeBlue病毒的方法,攻擊隨機的IP位址,如果是IIS伺服器,並未安裝補丁,就會感染該病毒。該蠕蟲用它自己的SMTP伺服器去發出郵件。同時用已經配置好的DNS獲得一個mail伺服器的地址。
Worms.Nimda運行時,會查找本地的HTM/ASP檔案,將生成的帶毒郵件放入這些檔案中,並加入JavaScript腳本。這樣,每當該網頁被打開時,就自動打開該染毒的readme.eml。
Worms.Nimda感染本地PE檔案時,有兩種方法,一種是查找所有的Windows應用程式(在HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Currentversion/AppPaths中),並感染,但不感染WINZIP32.EXE。
尼姆達病毒
尼姆達病毒第二種方法搜尋所有檔案,並試圖感染之。被感染的檔案會增大約57KB。如果用戶遊覽了一個已經被感染的web頁時,就會被提示下載.eml(OutlookExpress)的電子郵件檔案,該郵件的MIME頭是一個非正常的MIME頭,並且它包含一個附屬檔案,即此蠕蟲。
該郵件通過網路共享,Windows的資源管理器中選中該檔案,Windows將自動預覽該檔案,由於OutlookExpress漏洞,導致蠕蟲自動運行,因此即使不打開檔案,也會感染病毒。當病毒執行,它會在Windows目錄下生成MMC.EXE檔案,並將其屬性改為系統、隱藏。病毒會用自己覆蓋SYSTEM目錄下的Rlched20.DLL,Rlched20.DLL檔案是Office套件運行的必備庫,寫字板等也要用到這個動態庫,任何要使用這個動態庫的程式啟動,就會激活該病毒。病毒將自己複製到system目錄下,並改名為load.exe,系統每次啟動時,自動運行該病毒。病毒會以超級管理員的許可權建立一個guest的訪問帳號,以允許別人進入本地的系統。病毒改變Explorer的設定這樣就讓它無法顯示隱藏檔案和已知檔案的擴展名。
傳播途徑
感染檔案
尼姆達病毒定位系統中exe檔案,並將病毒代碼置入原檔案體內,從而達到對檔案的感染,當用戶執行這些檔案的時候,病毒進行傳播。
郵件亂髮
尼姆達病毒利用MAPI從郵件的客戶端及HTML檔案中搜尋郵件地址,然後將病毒傳送給這些地址,這些郵件包含一個名為eadme.exe的附屬檔案,系統(NT及win9x未安裝相應補丁)中該eadme.exe能夠自動執行,從而感染系統。
網路蠕蟲
區域網路
尼姆達病毒搜尋本地網路的檔案共享,檔案伺服器或終端客戶機,安裝一個隱藏檔案,名為riched20.dll到每一個包含doc和eml檔案的目錄中,當用戶通過word、寫字板、outlook打開doc或eml文檔時,該應用程式將執行riched20.dll檔案,從而感染。該病毒還可以感染遠程的在伺服器被啟動的檔案。
變種
尼姆達Ⅱ(nimda.E)命名為:Worm.Concept.118784(尼姆達2)。病毒作者在病毒原始碼中有一段說明:ConceptVirus(CV)V.6,Copyright(C)2001,(This’sCV,NoNimda.)。最後一句話的意思是:"這是概念病毒(CV=ConceptVirus),不是尼姆達病毒。"
在尼姆達病毒基礎上改進了附屬檔案名Readme.exe改為Sample.exe。感染IIS系統時生成的檔案從Admin.dll改為Httpodbc.dll。在NT/2000及相關係統,病毒拷貝自己到Windows的system目錄下,不叫mmc.exe,而用Csrss.exe的名字。
解決方案
手工清除
- 打開進程管理器,查看進程列表。結束其中進程名稱為“xxx.tmp.exe”以及“Load.exe”的進程(其中xxx為任意檔案名稱)。
- 切換到系統的TEMP目錄,尋找檔案長度為57344的檔案,刪掉它們。
- 切換到系統的System目錄,尋找名稱為riched20.dll的檔案。
- 查看riched20.dll的檔案大小,系統的正常檔案大小應該在100K以上,而Concept病毒的副本大小為57344位元組。
- 繼續在系統的System目錄下尋找名稱為load.exe、長度為57344位元組的檔案,刪掉它。
- 在C:\、D:\、E:\三個邏輯盤的根目錄下尋找Admin.DLL檔案,如果在根目錄下存在該檔案,則刪除它
- 打開System.ini檔案,在(load)中如果有一行“shell=explorer.exeload.exe-dontrunold”,則改為“shell=explorer.exe”。
- 如果是WinNT或者Win2000以及WinXP系統,則打開“控制臺/用戶和密碼”,將Administrator組中的guest帳號刪除。
脫機清除
- 熱啟動,結束此蠕蟲病毒的進程。
- 在系統的temp檔案目錄下刪除病毒檔案。
- 使用無毒的 riched20.dll(約100k)檔案替換染毒的同名的riched20.dll檔案(57344位元組)
- 將系統目錄下的load.exe檔案(57344位元組)徹底刪除以及windows根目錄下的mmc.exe檔案;要在各邏輯盤的根目錄下查找Admin.DLL檔案,如果有Admin.DLL檔案的話,刪除這些病毒檔案,並要查找檔案名稱為Readme.eml的檔案,也要刪除它。
- 如果用戶使用的是Windows NT或Windows 2000的作業系統的計算機,那么要打開"控制臺",之後打開"用戶和密碼",將Administrator組中guest帳號刪除。
