computer 版 (精华区)

发信人: neverbw (浪子~新键盘好爽阿！), 信区: network
标  题: 天网公布NIMDA病毒危害及清除和免疫新方案
发信站: 听涛站 (2001年09月21日09:22:58 星期五), 站内信件

发信人: ywh (ywh), 信区: Virus
标  题: 天网公布NIMDA病毒危害及清除和免疫新方案 (转载)
发信站: BBS 水木清华站 (Thu Sep 20 22:32:12 2001)

【 以下文字转载自 News 讨论区 】
发信人: neil (十方), 信区: News
标  题: 天网公布NIMDA病毒危害及清除和免疫新方案
发信站: BBS 水木清华站 (Thu Sep 20 22:07:25 2001)

http://www.sina.com.cn 2001年09月20日 12:54 新浪科技
　　天网提供稿件
 　【旁率 九日，美国和日本计算机专家宣称，一种破坏力极大的电脑病毒正通过互联
网在全球迅速传播，家用和商用电脑都可能感染这种病毒，而其破坏力之大远远超过前
段时间刚刚流行的“红色代码”。为此，FBI已经组建专门的部队来对付NIMDA病毒病毒
，以阻止该病毒造成更大的损失。
　　中国国家计算机病毒紧急反应中心称，北京、深圳和安徽等地的100多台计算机已经
感染了NIMDA病毒病毒。从目前的情况来看，在中国境内感染该病毒的机器恐怕远远不只
一百多台，因为在前天晚上，也就是9月18日，天网安全试验室已经接到用户报告，在昨
天，天网技术支持部接到数百个电话和上千封关于NIMDA病毒病毒的邮件。因此，天网安
全试验室紧急推出天网NIMDA病毒病毒手工清除和免疫方案，一方面让广大的计算机用户
避免遭受NIMDA病毒病毒的损失，另一方面减轻天网技术支持部的工作压力。
　　NIMDA病毒危害
　　NIMDA病毒病毒爆发后，很多用户十分关心这个据说会比“红色代码”造成更大损失
的病毒会对感染计算机系统造成什么样的破坏。从目前来看，其发作后只是针对计算机
系统的漏洞进行自我复制和传播，从而大大降低计算机运行速度和引起网络阻塞，对用
户计算机系统目前还没有诸如对文件操作等恶性破坏。但天网安全实验室安全专家指出
，用户千万不要因为看到NIMDA病毒病毒对系统目前没有什么恶性破坏而掉以轻心，NIM
DA病毒病毒有可能对感染的计算机系统进行更严重的破坏行为，如破坏文件系统，删除
、修改或者传送用户文件等。
　　目前NIMDA病毒病毒可能给用户造成直接损失是其把传染计算机的C盘设为无密码的
完全共享，可能会导致用户文件被恶意的攻击者利用而遭到复制、删除、修改甚至格式
化硬盘等等。
　　NIMDA病毒病毒的破坏力可能还处于潜伏期，一旦其爆发或者其进行病毒变种，有可
能造成比“红色代码”及“Sircam”病毒更大的损失，因为NIMDA病毒病毒传播和复制能
力远高于这两个病毒。天网安全实验室正在紧急分析NIMDA病毒病毒的原码，以期望提前
把NIMDA病毒病毒潜在的破坏能力揭晓开来，以避免对广大的计算机用户造成更大的损失
。
　　NIMDA病毒是首先被硅谷的几家公司发现的。根据目前的调查和评估，没有证据表明
这次病毒袭击与恐怖分子上周的袭击有关。不过，与7月份的红码病毒相比，这次袭击的
后果也许要严重得多。说到该病毒的起源，耐人寻味的是，Nimda的名称不由得使人联想
到其反向拼写admin，--它正是系统管理员一词通常的简写。有人根据病毒中的内容推测
它可能来自中国；也有人指出NIMDA是一家以色列国防承包商的名字，但这种联系都未免
过于牵强。
　　NIMDA病毒危害传播方式
　　NIMDA病毒病毒的传播方式有数种，其危险性在于都是利用IE或者IIS的漏洞在用户
系统上不知不觉的运行。天网安全试验室专家指出，其传染方式与前不久爆发造成数十
亿美元损失的红色代码相似，但它的传播速度将会大大快于红色代码，原因于红色代码
仅仅针对装有IIS5.0并且存在漏洞的机器，一般装有IIS5.0的机器都是服务器，一般个
人用户很少装这类软件，所以大部分个人用户是可以避免红色代码的感染。而NIMDA病毒
病毒可以通邮件传播，并且利用IE漏洞，使邮件在用户浏览后自动执行病毒。同时天网
安全试验室专家还指出，NIMDA病毒病毒的传播方式有多种，可以针对不同计算机系统灵
活选择传播方式,其有三种方式，一是通过电子邮件传输，二是攻击安全性不高的服务器
，三是攻击软盘驱动器。
　　NIMDA病毒清除和免疫新方案
　　Windows Nt/2000/XP的手工清除方法
　　1、结束其中进程名称为“xxx.tmp.exe”以及“Load.exe”的进程(xxx为任意文件
名)
　　2、删除系统temp文件夹中文件长度为57344的文件
　　3、删除系统System文件夹中的长度为57344字节的Riched20.DLL文件及load.exe
　　4、打开System.ini文件，在[load]中如果有一行“shell=explorer.exe load.exe
 -dontrunold”，则改为“shell=explorer.exe”
　　5、在硬盘区的根目录下寻找Admin.DLL文件，如果在根目录下存在该文件，则删除
它
　　6、打开“控制面板|用户和密码”，将Administrator组中的guest帐号删除
　　7、把C盘的完全共享取消掉
　　8、搜索整个硬盘，把所有readme.eml的文件删除，这时在你没有对系统进行免疫修
复前，请不要点击任何readme.eml文件，用ctrl+A选取全部readme.eml文件，删除掉，
如果单击了单个readme.eml文件，NIMDA病毒病毒将利用你的系统漏洞重新运行。
　　Win9X/Me的手工清除方法
　　1、重启操作系统进入到安全模式
　　2、删除系统temp文件夹中文件长度为57344的文件
　　3、删除系统System文件夹中的长度为57344字节的Riched20.DLL文件及load.exe
　　4、打开System.ini文件，在[load]中如果有一行“shell=explorer.exe load.exe
 -dontrunold”，则改为“shell=explorer.exe”
　　5、把C盘的完全共享取消掉
　　6、搜索整个硬盘，把所有readme.eml的文件删除，这时在你没有对系统进行免疫修
复前，请不要点击任何readme.eml文件，用ctrl+A选取全部readme.eml文件，删除掉，
如果单击了单个readme.eml文件，NIMDA病毒病毒将利用你的系统漏洞重新运行。
　　尽管这时候你已经清除了NIMDA病毒病毒，但是如果你不对你的系统进行免疫修复的
话，你很快会受到新的NIMDA病毒病毒攻击，因为NIMDA病毒病毒的传播复制能力非常强
，所以只有你的系统还存在漏洞，你就十分有可能重新再感染上NIMDA病毒病毒，所以天
网安全实验室推出了NIMDA病毒病毒免疫方案：
　　1、打上微软官方的补丁SP2
　　微软官方已经就WINDOWS2000系统目前发现的漏洞做了个“十全大补”的补丁，可以
弥补绝大部分的win2000漏洞。SP2共100M左右，可以到以下网址下载：
　　http://www.microsoft.com/windows2000/downloads/critical/q269862/default.
asp
　　这个补丁恐怕对大多数用户来说是不可能的，100M的文件下载实在太慢了。
　　2、使用天网个人版防火墙的修补程序
　　在天网个人版防火墙中，提供了包括IE漏洞的天网安全检测修补系统，可以检查出
WINDOWS中严重的系统漏洞，并自动修复它。目前的天网个人版(测试版)中所带的漏洞检
测与修复系统已经可以检查和修复NIMDA病毒病毒赖以传染和传播的IE浏览器漏洞，所以
对于防护NIMDA病毒病毒而言，是一个不可多得的顺手工具。经过了漏洞检测与修复系统
修复之后的系统，NIMDA病毒病毒就无法直接在用户的机器上自动运行了。
　　天网防火墙的下载地址：www.sky.net.cn
　　另外建议将WSH(Windows Scripting Host)功能删除可预防此类病毒的破坏。
　　其步骤是：
　　"开始"->"设置"->"控制面版"->"添加删除程序"-〉"WINDOWS按装程序"-〉"附件"，
在"组件"中的"Windows scripting Host"(约占空间1.1MB)，去掉选择，选"确定"即可，
不过这样可能会影响一些功能。
　　对于个人用户，能过天网个人版防火墙的漏洞检测修复即可以一劳永逸的免疫掉re
adme.eml的侵害，在修复漏洞，这个病毒就无法自动运行，它将弹出运行窗口，这时你
不要运行它即可以避免侵害。但对于服务器来说，还需要一些操作。
　　天网安全试验室正在密切关注NIMDA病毒病毒，并提醒广大用户迅速修补其系统漏洞
，以避免给NIMDA病毒病毒的入侵造成可趁之机，天网安全阵线已经为NIMDA病毒病毒的
防治制作了专题，用户可以登陆天网安全阵线(www.sky.net.cn)寻找更多NIMDA病毒病毒
的解决方法。

  
--
当爱情不再完美我宁愿选择无悔不管来生多么美丽我无法失去今生对你的记忆!

※ 来源:·听涛站 tingtao.dhs.org·[FROM: 匿名天使的家]