Nimda

king · 发表于 2001-9-23 10:50:42

为了防住Nimda，请升级你的系统http://www.microsoft.com/china/security/Bulletins/nimda.asp
瑞星12.44版本全球首家彻底安全清除Nimda病毒（转自瑞星首页）

Nimda病毒不但发送染毒邮件，还会感染EXE文件。目前声称能处理该病毒的反病毒公司都采取删除染毒文件的方式杀毒，导致很多重要程序不能运行，甚至机器瘫痪。瑞星公司推出世界上唯一可安全清除染毒文件的方法，不但可以清除染毒文件，还可清除内存中的病毒，确保杀毒之后系统正常运行。
Worms.Nimda 是一个新型蠕虫，也是一个病毒，它通过email、共享网络资源、IIS服务器传播。同时，它也是一个感染本地文件的新型病毒。
Worms.Nimda运行时搜索本地硬盘中的HTM、HTML文件和EXCHANGE邮箱，从中找到EMAIL地址，并向这些地址发送邮件；搜索网络共享资源，并试图将带毒邮件放入别人的共享目录；利用CodeBlue病毒的方法攻击随机IP地址，如果是未安装补丁的IIS服务器就会中毒。该蠕虫用它自己的SMTP服务器发送邮件，同时用已经配置好的DNS获得一个mail服务器地址。
Worms.Nimda运行时查找本地的HTM/ASP文件，将生成的带毒邮件放入这些文件中，并加入JavaScript脚本：。这样，每当该网页被打开时，就会自动打开该染毒的readme.eml。
Worms.Nimda用两种方法感染本地PE文件：一种是查找所有的WINDOWS 应用程序(在HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Currentversion/App Paths中)，并试图感染，但不感染WINZIP32.EXE；第二种方法搜索所有文件，并试图感染，被感染的文件会增大约57KB。
如果用户浏览一个已经被感染的web 页时，会被提示下载一个.eml(Outlook Express)的电子邮件文件。该邮件的MIME头是一个非正常的MIME头，它包含一个附件--即此蠕虫。这种邮件也可能是别人通过网络共享存入你的计算机，也可能是在别人的共享目录中。无论如何，只要你在WINDOWS的资源管理器中选中该文件，WINDOWS将自动预览该文件。由于Outlook Express的一个漏洞导致蠕虫自动运行，因此，即使你不打开文件也可能中毒。相关信息请参见微软安全网站：http://www.microsoft.com/technet/security/bulletin/MS01-020.asp。同时，该漏洞已有安全补丁：http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp。
当这个蠕虫执行的时候，它会在WINDOWS目录下生成MMC.EXE文件，并将其属性改为系统、隐藏；它会用自身覆盖SYSTEM目录下的RICHED20.DLL，这个文件是OFFICE套件运行的必备库，WINDOWS的写字板等也要用到这个动态库，任何要使用这个动态库的程序试图启动时都会激活该它；它会将自己复制到SYSTEM目录下，并改名为LOAD.EXE，同时将SYSTEM.INI文件中的SHELL项改为“explorer.exe load.exe –dontrunold”，这样，在系统每次启动时将自动运行它；这个蠕虫会在已经感染的计算机共享所有本地硬盘，同时，这个蠕虫会以超级管理员的权限建立一个guest的访问帐号，以允许别人进入本地的系统。这个蠕虫改变Explorer的设置这样就让它无法显示隐藏文件和已知文件的扩展名。
以下是中文系统补丁：http://www.microsoft.com/china/security/Bulletins/nimda.asp

king · 发表于 2001-9-23 10:52:56

在线测试：看看你的系统中是否存在NIMDA病毒可利用的漏洞

--------------------------------------------------------------------------------


   说明：
   本程序用于测试您的计算机系统是否安全，整个测试包括一个网页文件（本文件），一个 NIMDAD.EML文
  件，和一个NIMDET.EXE(包含在NIMDAD.EML中)，如果您在打开提供的网页时，系统未经您的确认，便下载了文
  件NIMDAD.EML，说明您的IE很不安全；如果在打开或预览 NIMDAD.EML时，未经您的确认便运行了NIMDET.EXE，
  则说明您的OutLook Express很不安全。
   如果您的系统不安全，请运行IE的补丁程序(SP2)，否则您的计算机很容易被尼姆达（WORM.NIMDA）类病毒
  的攻击。

                              >> 赶快测试一下你的系统吧
http://www.rising.com.cn/antivirus/test/testpage.htm
   尼姆达病毒相关资料：

Nimda病毒不但发送染毒邮件，还会感染EXE文件。目前声称能处理该病毒的反病毒公司都采取删除染毒文件的方式杀毒，导致很多重要程序不能运行，甚至机器瘫痪。瑞星公司推出世界上唯一可安全清除染毒文件的方法，不但可以清除染毒文件，还可清除内存中的病毒，确保杀毒之后系统正常运行。
Worms.Nimda 是一个新型蠕虫，也是一个病毒，它通过email、共享网络资源、IIS服务器传播。同时，它也是一个感染本地文件的新型病毒。
Worms.Nimda运行时搜索本地硬盘中的HTM、HTML文件和EXCHANGE邮箱，从中找到EMAIL地址，并向这些地址发送邮件；搜索网络共享资源，并试图将带毒邮件放入别人的共享目录；利用CodeBlue病毒的方法攻击随机IP地址，如果是未安装补丁的IIS服务器就会中毒。该蠕虫用它自己的SMTP服务器发送邮件，同时用已经配置好的DNS获得一个mail服务器地址。
Worms.Nimda运行时查找本地的HTM/ASP文件，将生成的带毒邮件放入这些文件中，并加入JavaScript脚本：<html><script language="JavaScript">window.open("readme.eml",null, "resizable=no,top=6000,left=6000")</script></html>。这样，每当该网页被打开时，就会自动打开该染毒的readme.eml。
Worms.Nimda用两种方法感染本地PE文件：一种是查找所有的WINDOWS 应用程序(在HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Currentversion/App Paths中)，并试图感染，但不感染WINZIP32.EXE；第二种方法搜索所有文件，并试图感染，被感染的文件会增大约57KB。
如果用户浏览一个已经被感染的web 页时，会被提示下载一个.eml(Outlook Express)的电子邮件文件。该邮件的MIME头是一个非正常的MIME头，它包含一个附件--即此蠕虫。这种邮件也可能是别人通过网络共享存入你的计算机，也可能是在别人的共享目录中。无论如何，只要你在WINDOWS的资源管理器中选中该文件，WINDOWS将自动预览该文件。由于Outlook Express的一个漏洞导致蠕虫自动运行，因此，即使你不打开文件也可能中毒。相关信息请参见微软安全网站：http://www.microsoft.com/technet/security/bulletin/MS01-020.asp。同时，该漏洞已有安全补丁：http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp。
当这个蠕虫执行的时候，它会在WINDOWS目录下生成MMC.EXE文件，并将其属性改为系统、隐藏；它会用自身覆盖SYSTEM目录下的RICHED20.DLL，这个文件是OFFICE套件运行的必备库，WINDOWS的写字板等也要用到这个动态库，任何要使用这个动态库的程序试图启动时都会激活该它；它会将自己复制到SYSTEM目录下，并改名为LOAD.EXE，同时将SYSTEM.INI文件中的SHELL项改为“explorer.exe load.exe –dontrunold”，这样，在系统每次启动时将自动运行它；这个蠕虫会在已经感染的计算机共享所有本地硬盘，同时，这个蠕虫会以超级管理员的权限建立一个guest的访问帐号，以允许别人进入本地的系统。这个蠕虫改变Explorer的设置这样就让它无法显示隐藏文件和已知文件的扩展名。

IE补丁程序：微软关于“Nimda”蠕虫病毒的信息

http://www.rising.com.cn/antivirus/net_virus/net217.htm
--------------------------------------------------------------------------------

king · 发表于 2001-9-23 10:56:01

微软关于“Nimda”蠕虫病毒的信息

--------------------------------------------------------------------------------

摘要：一种正式名称为“W32/Nimda@MM”的新型蠕虫病毒正在Internet上四处传播，许多用户已经受到了该病毒的感染。Microsoft正在会同防病毒公司和其它安全专家对这种病毒进行分析研究。如果您还没有安装相应的软件升级或补丁，您的计算机可能会感染上这种病毒。
您应该采取的操作
最终用户
为防止计算机通过e-mail渠道被感染，请用以下产品之一升级您的Internet Explorer：
Microsoft 安全公告（Security Bulletin） MS01-020提供的补丁程序
Internet Explorer 5.01 Service Pack 2.
Internet Explorer 5.5 Service Pack 2.
Internet Explorer 6
系统管理员
防止系统感染上红色代码II（Code Red II）蠕虫病毒，并且使用我们提供的工具修复已被该病毒感染的系统。（Code Red II病毒会在系统中留下“后门”，而Nimda病毒会利用这个“后门”）
通过应用或安装任何一种以下产品，消除“Web Server Folder Traversal”漏洞：
应用Microsoft Security Bulletin MS00-057中提供的补丁程序
应用Microsoft Security Bulletin MS00-078中提供的补丁程序
应用Microsoft Security Bulletin MS00-086中提供的补丁程序
应用Microsoft Security Bulletin MS00-026中提供的补丁程序
应用Microsoft Security Bulletin MS01-044中提供的补丁程序
安装Windows 2000 Service Pack 2
安装Windows NT 4.0 Security Roll-up Package
以默认模式安装IIS Lockdown Tool
以默认的规则集安装URLScan工具
通过关闭所有计算机的权限防止病毒通过文件共享进行传播
附加信息
病毒的正式名称为W32/Nimda@MM，但是该病毒通常还被叫做“Nimda”蠕虫病毒。它会试图通过以下三种不同的方式进行传播：
Email：受感染的计算机会尝试通过e-mail发送病毒副本来传染其它用户。
Web服务器：受感染的计算机会尝试通过寻找已经受到破坏的Web服务器或利用已知的IIS服务器漏洞来传染其它的Web服务器。
文件共享：受到感染的计算机会对系统进行搜索，试图找到一个被配置为允许任何人向其中添加文件的共享文件夹。如果找到这样的一个文件夹，它将向其中写入受感染的文件。
Email
蠕虫病毒会利用在Microsoft Security Bulletin MS01-020中讨论过的安全漏洞将自身藏在邮件中，并向其他用户发送一个病毒副本来进行传播。正如在公告中所描述的那样，该漏洞存在于Internet Explorer之中，但是可以通过e-mail来利用。只需简单地打开邮件就会使机器感染上病毒 — 并不需要您打开邮件附件。
防病毒厂商正在开发能检测和清除病毒邮件的升级扫描工具。但是即使使用了这些工具，您也必须应用IE的补丁或安装IE的升级版本来消除这个漏洞。那些已经安装了上面所列出的IE升级程序的用户不会因为邮件而受到病毒的感染。
Web 服务器
该病毒攻击IIS 4.0和5.0Web服务器，它主要通过两种手段来进行攻击：第一，它检查计算机是否已经被Code Red II病毒所破坏，因为Code Red II病毒会创建一个“后门”，任何恶意用户都可以利用这个“后门”获得对系统的控制权。如果Nimda 病毒发现了这样的机器，它会简单地使用Code Red II病毒留下的后门来感染机器。第二，病毒会试图利用“Web Server Folder Traversal”漏洞来感染机器。如果它成功地找到了这个漏洞，病毒会使用它来感染系统。
可以使用工具来删除Code Red II蠕虫病毒留下的后门。但是，最好的做法是按照上面步骤1中的指示，一并防止受到Code Red II病毒的感染。
文件共享
病毒传播的最后一种手段是通过文件共享来进行传播。Windows系统可以被配置成允许其他用户读写系统中的文件。允许所有人都可以访问您的文件会导致很糟糕的安全性，而且默认情况下，Windows系统仅仅允许授权用户访问系统中的文件。然而，如果病毒发现系统被配置为其他用户可以在系统中创建文件，它会在其中添加文件来传播病毒。您可以使用Microsoft个人安全顾问（Personal Security Advisor）来检查您的系统是否存在错误的共享配置
更多资源
Microsoft将继续对病毒进行研究，并将根据研究结果提供升级信息。与此同时，您可以从以下资源获取相应的附加信息：
CERT Coordination Center
Symantec Security Response
Network Associates
http://www.rising.com.cn/antivirus/net_virus/net217.htm

king · 发表于 2001-9-23 10:57:28

清除尼姆达病毒后如何修复OFFICE运行异常问题？

----------------------------------------------------------------------------------------

(瑞星公司 2001/9/21)
由于尼姆达病毒用自身覆盖了system目录下的riched20.dll文件，所以WORD等字处理软件运行不正常。用户杀毒后，可以从安装盘里找到相应的文件重新拷贝回来。
如Win98：在压缩包Win98_35.CAB中，解开找到riched20.dll拷贝到system目录。
Win98se：在压缩包Win98_41.CAB中。
Win2000：在system32\dllcache目录有备份，将它拷贝到system32目录。等等
或者也可以从其它未感染过病毒的机器拷贝这些文件。

king · 发表于 2001-9-23 10:59:43

尼姆达病毒的四个传播途径

--------------------------------------------------------------------------------

(瑞星公司)

尼姆达病毒的传播可以通过四种方式：
1）感染文件
2）乱发邮件
3）网络蠕虫
4）局域网传播
--感染文件
尼姆达病毒定位本机系统中的EXE文件，并将病毒代码置入原文件体内，从而达到对文件的感染，当用户执行这些
文件的时候，病毒进行传播。
--乱发邮件
尼姆达病毒利用MAPI从邮件的客户端及HTML文件中搜索邮件地址，然后将病毒发送给这些地址，这些邮件包含一个
名为README.EXE的附件，在某些系统（NT及win9x未安装相应补丁）中该README.EXE能够自动执行，从而感染整个系统。
--网络蠕虫
尼姆达病毒还会扫描internet，试图找到www主机，一旦找到这样的服务器，蠕虫便会利用已知的系统漏洞来感染该服务器，如果成功，蠕虫将会随机修改该站点的WEB页，当用户浏览该站点时，不知不觉中便被感染。（好恐怖！）

--局域网传播
尼姆达病毒还会搜索本地网络的文件共享，无论是文件服务器还是终端客户机，一旦找到，便安装一个隐藏文件，名为RICHED20.DLL到每一个包含DOC和EML文件的目录中，当用户通过word、写字板、outlook打开DOC或EML文档时，这些应用程序将执行RICHED20.DLL文件，从而使机器被感染。同时该病毒还可以感染远程的在服务器被启动的文件。

king · 发表于 2001-9-23 11:29:45

尼姆达病毒最新解决方案

太平洋软件下载组收集整理 2001/09/21
来源：microsoft
发布时间：2001-09-20 15:15:18
摘要：一种正式名称为“W32/Nimda@MM”的新型蠕虫病毒正在Internet上四处传播，许多用户已经受到了该病毒的感染。Microsoft正在会同防病毒公司和其它安全专家对这种病毒进行分析研究。如果您还没有安装相应的软件升级或补丁，您的计算机可能会感染上这种病毒。
您应该采取的操作
最终用户
为防止计算机通过e-mail渠道被感染，请用以下产品之一升级您的Internet Explorer：
Microsoft 安全公告（Security Bulletin） MS01-020提供的补丁程序
Internet Explorer 5.01 Service Pack 2.
Internet Explorer 5.5 Service Pack 2.
Internet Explorer 6
系统管理员
防止系统感染上红色代码II（Code Red II）蠕虫病毒，并且使用我们提供的工具修复已被该病毒感染的系统。（Code Red II病毒会在系统中留下“后门”，而Nimda病毒会利用这个“后门”）
通过应用或安装任何一种以下产品，消除“Web Server Folder Traversal”漏洞：
安装装Windows 2000 Service Pack 2
以默认模式安装IIS Lockdown Tool
以默认的规则集安装URLScan工具
通过关闭所有计算机的权限防止病毒通过文件共享进行传播
附加信息
病毒的正式名称为W32/Nimda@MM，但是该病毒通常还被叫做“Nimda”蠕虫病毒。它会试图通过以下三种不同的方式进行传播：
Email：受感染的计算机会尝试通过e-mail发送病毒副本来传染其它用户。
Web服务器：受感染的计算机会尝试通过寻找已经受到破坏的Web服务器或利用已知的IIS服务器漏洞来传染其它的Web服务器。
文件共享：受到感染的计算机会对系统进行搜索，试图找到一个被配置为允许任何人向其中添加文件的共享文件夹。如果找到这样的一个文件夹，它将向其中写入受感染的文件。
Email
蠕虫病毒会利用在Microsoft Security Bulletin MS01-020中讨论过的安全漏洞将自身藏在邮件中，并向其他用户发送一个病毒副本来进行传播。正如在公告中所描述的那样，该漏洞存在于Internet Explorer之中，但是可以通过e-mail来利用。只需简单地打开邮件就会使机器感染上病毒 — 并不需要您打开邮件附件。
防病毒厂商正在开发能检测和清除病毒邮件的升级扫描工具。但是即使使用了这些工具，您也必须应用IE的补丁或安装IE的升级版本来消除这个漏洞。那些已经安装了上面所列出的IE升级程序的用户不会因为邮件而受到病毒的感染。
Web 服务器
该病毒攻击IIS 4.0和5.0Web服务器，它主要通过两种手段来进行攻击：第一，它检查计算机是否已经被Code Red II病毒所破坏，因为Code Red II病毒会创建一个“后门”，任何恶意用户都可以利用这个“后门”获得对系统的控制权。如果Nimda 病毒发现了这样的机器，它会简单地使用Code Red II病毒留下的后门来感染机器。第二，病毒会试图利用“Web Server Folder Traversal”漏洞来感染机器。如果它成功地找到了这个漏洞，病毒会使用它来感染系统。
可以使用工具来删除Code Red II蠕虫病毒留下的后门。但是，最好的做法是按照上面步骤1中的指示，一并防止受到Code Red II病毒的感染。
文件共享
病毒传播的最后一种手段是通过文件共享来进行传播。Windows系统可以被配置成允许其他用户读写系统中的文件。允许所有人都可以访问您的文件会导致很糟糕的安全性，而且默认情况下，Windows系统仅仅允许授权用户访问系统中的文件。然而，如果病毒发现系统被配置为其他用户可以在系统中创建文件，它会在其中添加文件来传播病毒。您可以使用Microsoft个人安全顾问（Personal Security Advisor）来检查您的系统是否存在错误的共享配置

下载：Worm.Concept.57344概念蠕虫专杀工具
http://www8.pconline.com.cn/download/swdetail.phtml?id=5568

king · 发表于 2001-9-23 11:31:44

警惕！尼姆达蠕虫病毒

太平洋软件下载组收集整理 2001/09/19
　　2001年9月18日从21:17开始，又有一种采用“欢乐时光”、“蓝色代码”手段联合攻击的新蠕虫------Worm.Concept.57344概念蠕虫病毒出现！该蠕虫采用HappyTime的方式，通过邮件进行传递，只要一查看邮件即会立刻中毒，同时还会下载一个木马DLL。感染病毒的用户会陆续收到大量标题奇怪的用户来信，一预览会弹出一个对话框。
　　该病毒的内部采用类似“蓝色代码（CodeBlue）”蠕虫的攻击方式（利用微软的Unicode漏洞）对外随机攻击网站，同时读取用户信件，取出SMTP地址、邮箱地址，利用这些地址将带有蠕虫病毒的信件向外发送，而且在局域网内传播，具有极高的传染性。它还会修改system.ini，以便让病毒在开机启动系统时自动运行。
　　这“概念”病毒（Worm.Concept.57344），又是一种会通过email电子邮件进行传播的恶意蠕虫。当用户邮件的正文为空时，似乎没有附件，实际上邮件中嵌入了病毒的执行代码。只要用户用OUTLOOK、OUTLOOK EXPRESS（没有安装微软的补丁包的情况下）收取邮件，在预览邮件时，病毒的执行代码就已经在不知不觉中执行了。执行时会将自身复制到临时目录下，再运行在临时目录中的副本。
　　该病毒还会在windows的system目录中生成load.exe文件，同时修改system.ini中的shell，把shell=explorer.exe改为explorer.exe load.exe –dontrunold，从而使病毒在下次系统启动时仍能被激活。另外，在system目录下，该病毒还会生成一个副本：riched20.dll。riched20.dll目录在windows系统中就存在，它就会把它覆盖掉了
　　病毒复制到临时目录下的副本（有两个文件，文件名为？？？？？？？.tmp.exe），在系统下次启动时，病毒会将他们删除（修改wininit.ini文件）。
　　为了通过邮件将自己传播出去，该病毒使用了MAPI函数读取用户的email并从中读取SMTP地址和email地址。病毒还在windows的临时目录下生成一个eml格式的临时文件，大小为79225字节，该文件已经用BASE64编码将病毒包含进去。然后，病毒就用取得的地址将带毒邮件发送出去。
　　病毒的第二种传播途径就是用与CodeBlue极其相似的方法，使用了IIS的UNICODE漏洞。
　　该病毒的第三种传播途径则是通过局域网的共享，传播到其它windows系统下。
另外，病毒运行时会利用ShellExcute执行系统中的一些命令如：NET.EXE、USER.EXE、SHARE.EXE等等，将Guest用户添加到Guests、Administrators组（针对NT/2000/XP），并激活Guest用户。还会将C盘根目录共享出来。
手工清除Worm.Concept.57344概念蠕虫
1、打开进程管理器，查看进程列表；
2、结束其中进程名称为“xxx.tmp.exe”以及“Load.exe”的进程（其中xxx为任意文件名）；
3、切换到系统的TEMP目录，寻找文件长度为57344的文件，删掉它们；
4、切换到系统的System目录，寻找名称为Riched20.DLL的文件；
5、查看Riched20.DLL的文件大小，系统的正常文件大小应该在100K以上，而Concept病毒的副本大小为57344字节，如果有长度为57344字节的Riched20.DLL，删掉它；
6、继续在系统的System目录下寻找名称为load.exe、长度为57344字节的文件，删掉它
7、在C:\、D:\、E:\三个逻辑盘的根目录下寻找Admin.DLL文件，如果在根目录下存在该文件，则删除它；
8、打开System.ini文件，在[load]中如果有一行“shell=explorer.exe load.exe -dontrunold”，则改为“shell=explorer.exe”；
9、如果是WinNT或者Win2000以及WinXP系统，则打开“控制面板|用户和密码”，将Administrator组中的guest帐号删除；
10、打开共享文件夹管理，将共享“C$”去除，该共享为本地C:\的完全共享；
11、搜索整个机器，查找文件名为Readme.eml的文件，如果文件内容中包含
　“<HTML><HEAD></HEAD><BODY bgColor=3D#ffffff>
　　<iframe src=3Dcid:EA4DMGBP9p height=3D0 width=3D0>
　　</iframe></BODY></HTML> ”
　　以及
　　 “Content-Type: audio/x-wav;
　　 name="readme.exe"
　　 Content-Transfer-Encoding: base64
　　 ”，则删掉该文件。
　　只要用户您认真仔细地依照上述方法步骤，便可做到手动清除新“概念”蠕虫，赶快行动吧！

		自动登录	找回密码
密码			注册

Nimda

Nimda

Nimda

Nimda

Nimda

Nimda

Nimda

浏览过的版块