computer 版 (精华区)
发信人: neverbw (浪子~期待黑色七月), 信区: network
标 题: 重点关注:W32/Nimda@MM病毒危害及防范
发信站: 听涛站 (2001年09月23日00:28:31 星期天), 站内信件
一、Nimda病毒的特征
继红色代码和蓝色代码病毒出现以后,本周星期二(2001/9/18),一种能够同时感
染微软操作系统的服务器和PC机的病毒又被发现,已经以大量的数据堵塞了Internet通
讯,促使FBI(美国联邦调查局)不得不组建一支特别部队来调查遭受袭击的情况。
这种被称为“Nimda”或“readme.exe”的病毒,是通过发送受到感染的电子邮件信
息,然后在网络中的计算机上自我复制进行传播的,它已经危及到使用微软的Internet
信息服务器(IIS)软件的Web服务器。和红色代码和蓝色代码不同的是,W32/Nimda@MM
不但感染服务器,而且也感染个人计算机。该病毒传播主要有以下几种方式:
1)通过电子邮件附件(主要利用OutLook或者OutLook Express漏洞)传播;在预览
被感染邮件的时候,病毒自动执行并且将自身复制到系统临时目录,同时运行临时目录
中的副本;
2)寻找有Unicode Web Traversal exploit漏洞(详细介绍请访问:http://www.mi
crosoft.com/technet/security/bulletin/ms00-078.asp)的IIS服务器,找到以后,立
即在创建具有Administrator权限的Guest帐号;同时,在被感染计算机上共享文件夹;
3)寻找网络共享并且通过共享进入计算机,在被感染的计算机继续共享文件夹。
通过以上三种传播方法,该病毒不但可以在网络迅速传播,而且,大量的数据可能
使整个网络堵塞。
观察这个病毒的特征,我们发现这个病毒同时具有已经被发现的三种病毒的特征:
1)HappyTime病毒特征,通过电子邮件传播;
2)红色代码病毒特征,寻找并且感染未大好补丁的IIS;
3)FunLove病毒,寻找网络共享以此传播自身;
由此可见,越是最近被发现的病毒越是具有更多的危害,因为它们往往继承甚至发
扬光大了它们前辈的所有特征。
二、病毒的检查
如果系统感染W32/Nimda@MM病毒,计算机将出现一种或者几种症状:
一)系统进程中有进程名称为“xxx.tmp.exe”以及“Load.exe”的进程(其中xxx
为任意文件名);
二)系统的TEMP目录有文件长度为57344的文件;
三)系统的System目录有名称为Riched20.DLL的文件;
四)查看Riched20.DLL的文件大小,系统的正常文件大小应该在100K以上,而Conc
ept病毒的副本大小为57344字节,如果有长度为57344字节的Riched20.DLL,证明感染病
毒
五)在系统的System目录下有名称为load.exe、长度为57344字节的文件;
六)在C:\、D:\、E:\三个逻辑盘的根目录下寻找Admin.DLL文件,如果在根目录下
存在该文件,注明感染病毒
七)System.ini文件的[load]中有一行“shell=explorer.exe load.exe -dontrun
old”;
八)搜索整个机器,查找文件名为Readme.eml的文件,如果文件内容中包含
〈HTML〉
〈HEAD〉〈/HEAD〉
〈BODY bgColor=3D#ffffff〉
〈br〉
〈iframe src=3Dcid:EA4DMGBP9p height=3D0 width=3D0〉
〈br〉
〈/iframe〉〈/BODY〉
〈/HTML〉
以及
Content-Type: audio/x-wav;
name="readme.exe"
Content-Transfer-Encoding: base64
证明感染病毒;
三、病毒的防范
一)个人用户(Win9x/WinME用户)
为了防范个人计算机电子邮件受感染,请针对自己的系统,采取以下任何措施中的
任何一种:
1)安装IE补丁包,下载地址:
http://www.microsoft.com/windows/ie/download/critical/
Q290108/default.asp
2)安装IE5.01补丁包二,下载地址:
http://www.microsoft.com/windows/ie/downloads/recommended/
ie501sp2/default.asp
3)安装IE5.5补丁包二,下载地址:
http://www.microsoft.com/windows/ie/downloads/recommended/
ie55sp2/default.asp
4)安装IE6正式版(英文),下载地址:
http://www.microsoft.com/windows/ie/downloads/ie6/default.asp
二)Win2000或者NT服务器用户
因为W32/Nimda@MM会利用感染红色代码病毒留下的“后门”来对系统进行感染,所
以,在采取防范措施以前最好安装红色代码和代码的补丁。
1、安装红色代码补丁包,清除红色代码。
相关软件下载地址:
http://www.microsoft.com/technet/treeview/default.asp?
url=/technet/itsolutions/security/ topics/codealrt.asp
检查系统,清除红色代码病毒,有以下工具可以检查或者清除红色代码:
1) 微软提供的CodeRedCleanup.exe ,下载地址:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=31878
2) 赛门铁克提供的FixCodeR工具,可以到http://www.symantec.com/avcenter下
载;
3)金山毒霸提供的Duba_CodeRed2.exe,下载地址:
http://www.iduba.net/download/other/Duba_CodeRed2.EXE
4)病毒观察提供的killrc2.exe,下载地址:
http://www.virusview.net/download/sptools/other/killrc2.exe
2、安装蓝色代码补丁,清除蓝色代码,相关软件下载地址:
IIS4用户下载地址:
http://www.microsoft.com/ntserver/nts/downloads/critical/
q301625/default.asp%20
IIS5用户下载地址:
http://www.microsoft.com/windows2000/downloads/critical/
q301625/default.asp
清除工具下载:
金山毒霸提供的蓝色代码清除工具DuBa_CodeBlue,下载地址:
http://www.iduba.net/download/other/tool_010907_CodeBlue.htm
3、安装最新系统补丁
IIS4用户在安装SP6a以后,还要安装安全补丁,下载地址:
http://www.microsoft.com/ntserver/nts/downloads/critical/
q299444/download.asp
IIS5用户,安装Win2000补丁二,下载地址:
http://www.microsoft.com/windows2000/downloads/servicepacks/
sp2/default.asp
4、安装微软最新安全工具
IIS LockDown Tool,采用默认安装方式,IIS LockDown帮助系统管理员对IIS进行
安全性设置,下载地址:
http://www.microsoft.com/technet/security/tools/locktool.asp
IIS URLScan Tool,采用默认安装方式,IIS URLScan Tool是微软发布的IIS网络服
务器安全过滤软件,可以即时监控所有发往IIS web服务器的请求,只允许那些符合特定
规则的请求通过。系统管理员制定那些规则,通过使用这一工具可以使服务器只对那些
有效请求做出回答,从而显著提高系统的安全性。这一工具允许网络管理员制定基于长
度、字符集、内容和其他方面的过滤规则。缺省状态下,这一工具已经提供了大量有效
的过滤规则,针对特定的服务器,用户可以进行具体配置。下载地址:
http://www.microsoft.com/technet/security/URLScan.asp
四、升级防病毒软件
金山毒霸推出了专门查杀该病毒的工具Duba_Concept,下载地址:
http://bj.iduba.net/download/othertools/Duba_Concept.EXE
也可以升级金山毒霸,最新升级包下载:
http://www.iduba.com
赛门铁克安全响应中心也已经给用户提供了最新的病毒定义供用户下载更新,更新
后的诺顿防病毒程序可以彻底查杀Nimda(W32.Nimda.A.@mm)病毒。
--
当爱情不再完美我宁愿选择无悔不管来生多么美丽我无法失去今生对你的记忆!
※ 来源:·听涛站 tingtao.dhs.org·[FROM: 匿名天使的家]
Powered by KBS BBS 2.0 (http://dev.kcn.cn)
页面执行时间:1.126毫秒