肆虐全球的CodeRed紅色代碼蠕蟲病毒的餘波尚未平息,又一種破壞力極強的新病毒已經開始象野火一樣開始在網際網路上蔓延開來,這種名為NimdaW32.Nimda.A@mm或者W32.Nimda.A@mm(html)或者W32.Nimda.A@mm(dll)的病毒於2001年9月18日上午9:08被發現,半小時之內就傳遍了世界,其傳播範圍和破壞程度大大超過前一段時間極度肆虐的“紅色代碼”病毒。
基本介紹
- 中文名:Nimda病毒
- 外文名:W32.Nimda.A@mm
- 發現時間:2001年9月18日上午9:08
- 類型:蠕蟲病毒
簡介,五個變種,Nimda.a,Nimda.b,Nimda.c,Nimda.d,Nimda.e,清除方法,
簡介
據Symantec報告,目前已有1000多例感染病例,10多個站點被感染。冠群金辰反病毒監測網也報告我國各地均有病毒的感染案例。由於此病毒能通過多種方法攻擊Win32系統,一種方法不行它會嘗試另外一種方法攻擊,直至成功,其攻擊對網路造成的通信阻塞是空前的。目前已有多家報告因受此病毒攻擊,造成網路癱瘓,其危害性不言而喻。
這種新病毒也是利用運行於視窗NT或視窗2000上的微軟網際網路伺服器軟體存在的安全隱患展開攻擊,這一點與“紅色代碼”病毒相同,但它同時也可以感染客戶端。即用戶在瀏覽染毒的網頁時就可能會受到感染。此病毒還通過Ooutlook,Outlook Express郵件客戶端傳播,會在用戶訪問帶毒的郵件時在用戶毫不知曉的情況下感染用戶的系統,這一點又與前一段時間流行的郵件蠕蟲病毒Happytime很相似。此外,它對系統共享也作了手腳,為每個盤符創建網路共享。在Win9x/ME系統上,該共享被設定為完全共享,無需密碼。在WinNT/2K系統上,GUEST用戶被賦予管理員許可權,並得到共享許可權。在網路共享這一方面,又與Funlove病毒相似。
五個變種
Nimda.a
這是9月18日出現的最初版本,它主要通過以下幾種不同的方式入侵用戶的電腦:
1. 檔案感染 :尼姆達在本地機器上尋找系統中的EXE檔案,並將病毒代碼置入原檔案體內,從而達到對檔案的感染。當用戶執行像遊戲一類的受感染的程式檔案時,病毒就開始傳播。
2. 郵件感染 :尼姆達通過MAPI從郵件的客戶端及本地的HTML檔案中搜索郵件地址,然後將病毒傳送給這些地址。這些郵件都包含一個名為README.EXE的附屬檔案,在某些系統中該附屬檔案能夠自動執行,從而感染整個系統。
3. 網路蠕蟲 :它還會通過掃描internet,來試圖尋找www伺服器,一旦找到WEB伺服器,該病毒便會利用已知的安全漏洞來感染該伺服器,若感染成功,就會任意修改該站點的WEB頁,當在WEB上衝浪的用戶瀏覽該站點時,不知不覺中便會被自動感染。 網管論壇bbs_bitsCN_com
4.區域網路傳播 :它還會搜尋本地網路的已分享檔案,無論是檔案伺服器還是終端客戶機,一旦找到,便會將一個名為RIHED20.DLL的隱藏檔案加入到每一個包含DOC和EML檔案的目錄中。當別的用戶打開這些目錄下的DOC或EML文檔時, word、寫字板、outlook等應用程式將執行RICHED20.DLL檔案,從而使機器被感染。同時該病毒還可以感染伺服器上被啟動的遠程檔案。
Nimda.b
在a的基礎上作了輕微的改變,利用PCShrink進行了壓縮。檔案名稱README.EXE及 README.EML改成了PUTA!!.SCR及PUTA!!.EML。
Nimda.c
與最初版a基本相似,但通過壓縮軟體UPX進行了壓縮。
Nimda.d
在a的基礎上也作了輕微的改變,但利用的是PECompact進行壓縮。唯一明顯不同的是源檔案中出現的“著作權”文本變為“大屠殺”病毒(HoloCaust Virus.!); 作者為西班牙的Stephan Fernandez (V.5.2 by Stephan Fernandez.Spain)。
Nimda.e
該變種是於10月30日凌晨發現。根據病毒專家對此變種的技術分析得知,其危害性與最初版的尼姆達有過之而無不及,而且將會是近期在網際網路上迅速傳播的大熱惡意蠕蟲。它與Nimda.a的不同之處在於:
1、附屬檔案名字從Readme.exe改為Sample.exe
2、感染IIS系統時生成的檔案從Admin.dll改為Httpodbc.dll
3、在NT/2000及相關係統,病毒拷貝自己到windows的system目錄下,不再叫mmc.exe,而用Csrss.exe的名字
清除方法
Symantec和冠群金辰都提供了類似的手工清毒方案:
(一)使用NAV2001或者NAV2002防毒
1、運行LiveUpdate,更新最新的病毒代碼;
2、啟動NAV,掃描系統中所有檔案。
3、如果NAV報告感染了W32.Nimda.A@mm或者W32.Nimda.A@mm(html),點擊修復Repair。
4、如果NAV報告感染了W32.Nimda.A@mm(dr)或者W32.Nimda.A@mm(dll),點擊刪除Delete。
5、如果需要,替換admin.dll和riched20.dll檔案。
6、重啟計算機。
7、重複步驟1-6,直到檢測不到W32.Nimda.A@mm為止。
8、如果System.ini檔案[load]中有“shell=explorer.exe load.exe-dontrunold”,刪除load.exe -dontrunold。
9、刪除不必要的共享。
10、刪除Administrator組中的guest帳號。
(二)冠群金辰方案
1、從微軟網站
補丁並執行,然後關閉本機的所有共享。
2、按ctrl-alt-del,結束“xxx.tmp.exe”以及“Load.exe”的進程。
3、刪除temp目錄中的檔案。
4、用乾淨的Riched20.DLL(大約100k)檔案替換染毒的同名Riched20.DLL檔案(57344位元組)。
5、刪除系統目錄下的load.exe檔案(57344位元組),windows根目錄下的mmc.exe檔案,在C:\、D:\、E:\三個邏輯盤的根目錄下如果有Admin.DLL檔案,刪除這些檔案,查找檔案名稱為Readme.eml的檔案,刪除它。
6、System.ini檔案[load]中如果有一行“shell=explorer.exe load.exe-dontrunold”,改為“shell=explorer.exe”
7、刪除HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Network\LanMan\和HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\MapMail\的鍵值。
8、如果是WinNT或者Win2000,打開“控制臺|用戶和密碼”,將Administrator組中的guest帳號刪除。KILL的最新病毒特徵碼28.06已可查殺此病毒。
