computer 版 (精华区)

发信人: shine (一个手表一种心情), 信区: network
标  题: 关于清除、防范Nimda病毒的通告
发信站: 听涛站 (2001年09月25日00:24:20 星期二), 站内信件

各位用户：您好！
继红码（Code Red）病毒8月6日泛滥之后，一种新的尼坶达（Nimda）
病毒又在9月18日开始大肆泛滥。它的主要传播途径如下：
1. 电子邮件
2. 浏览网站
3. 网络邻居
4. 系统缺陷
5. 红玛病毒留下的后门
感染对象主要为微软的以下系统：
1. Windows 95
2. Windows 98
3. Windows NT
4. Windows 2000系列
5. Windows ME
6. Windows XP
尼坶达病毒的危害远远超过红码病毒，目前已经严重妨害了校园网的正
常运行。因此，请您立即断网检查您的计算机是否已感染病毒，在重新
连网前做好病毒的防、杀处理。具体步骤请见附件。我们将在网络中心
主页上随时公布有关的信息、工具和染毒计算机列表：
http://netsupport.tsinghua.edu.cn/nimda.htm
其它可参见：
http://www.ccert.edu.cn/
网络中心
2001.9.24
----------------------------------------------------------------------------
-----
附件：
查杀、处理Nimda病毒的方法
1、备份您的资源文件
由于被病毒感染本身是您的计算机系统陷于危险之中，在做一切其他操作之前强烈建议
您：将
所有对您有价值的数据和文件备份到其他安全介质上，保存在稳妥的地方。
例如：论文、地址簿、电子邮件、表格……
2、为下载相关补丁，先检查系统类型和版本
检查计算机的系统版本和浏览器版本：
a) 系统版本检查方法：
在“桌面”上鼠标右键单击“我的电脑”，选“属性”，查看；
或 “开始”e“设置”e“控制面板”，选“系统”e“常规”选项卡查看；
b) Internet Explorer版本检查方法：
打开Internet Explorer，选择“帮助”菜单e“关于Internet Explorer”
并把内容作一个简单记录，以便之后下载相关补丁。
3、下载相关补丁
a, 最终用户
为防止计算机通过e-mail渠道被感染，请用以下产品之一升级您的Internet Explorer：

Microsoft 安全公告（Security Bulletin） MS01-020提供的补丁程序
  位于：http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
Internet Explorer 5.01 Service Pack 2.
位于：http://www.microsoft.com/windows/ie/downloads/recommended/ie501sp2/def
ault.asp
Internet Explorer 5.5 Service Pack 2.
位于：http://www.microsoft.com/windows/ie/downloads/recommended/ie55sp2/defa
ult.asp
Internet Explorer 6
  位于：http://www.microsoft.com/windows/ie/downloads/ie6/default.asp
b, 系统管理员
1.防止系统感染上红色代码II（Code Red II）蠕虫病毒，并且使用我们提供的工具修复
已被
该病毒感染的系统。（Code Red II病毒会在系统中留下“后门”，而Nimda病毒会利用
这个“
后门”）
2.通过应用或安装任何一种以下补丁，消除“Web Server Folder Traversal”漏洞：
o   应用Microsoft Security Bulletin MS00-057中提供的补丁程序
o   应用Microsoft Security Bulletin MS00-078中提供的补丁程序
o   应用Microsoft Security Bulletin MS00-086中提供的补丁程序
o   应用Microsoft Security Bulletin MS00-026中提供的补丁程序
o   应用Microsoft Security Bulletin MS01-044中提供的补丁程序
o   安装Windows 2000 Service Pack 2
o   安装Windows NT 4.0 Security Roll-up Package
o   以默认模式安装IIS Lockdown Tool
o   以默认的规则集安装URLScan工具
4、将机器从网络上断开。 如果您需要保证系统在开放时绝对安全， 可以考虑重新格式
化并
安装操作系统并根据系统类型，打上上面所提到的补丁文件，之后再恢复您的数据，连
到网上
来。
如果您不希望重新安装操作系统，可以考虑下面的方案 (有一定操作难度或风险)：
方法一
l （紧接上述3步骤之后）将机器从网络上断开，手动清理系统注册表
清理你的注册表, 因为病毒将通过修改注册表来隐藏自己。病毒将调整Windows资源管理
器的
属性, 它通过修改以下键值来使系统 (主要是 Win2K 和WindowsME) 无法显示被感染的
文件。
因为各个单位的机器的设置都不一样，所以，具体的值应对照注册表备份来进行恢复（
如果您
在被病毒感染之前有注册表备份的话）。
“开始”e“运行”，在“打开”框中输入 “regedit”，进入注册表编辑器，修改以下

键值：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advan
ced]
 注册表的键值被创建和修改以隐藏文件：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advan
ced\Hi
deFileExt]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advan
ced\Hi
dden]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advan
ced\Sh
owSuperHidden]
 由病毒创建的键值：
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Inter
faces]
病毒通过删除下面表项中的键值来削弱共享的安全性：
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Shares\Se
curity
]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Share\Sec
urity]
l删除启动引导设置来防止病毒在机器启动时自动运行。
病毒通过修改SYSTEM.INI 文件来使自己在机器每次启动时都自动运行，从SYSTEM.INI 
文件中
删除以下几行，然后重启机器。
        [boot]
        shell=explorer.exe load.exe –dontrunold
l删除 payload 文件。
当病毒被执行后，它将自我拷贝数份到Windows 系统目录下。这些文件都具有“系统”
和“隐
藏”的属性，并且将覆盖已存在的同类型文件。 删除或重命名/移走 (有些文件可能在
病毒没
有停止运行的情况下无法删除)所有的"worm dropping"文件(特征大小为57kB)。  一些
被感染
的系统文件需要从磁盘备份或CD安装盘恢复。
·MMC.EXE (在Windows 目录下, MS Mgmt Console –病毒可能也会感染该文件)
·LOAD.EXE (在Windows的system 目录下)
·RICHED20.DLL (在Windows的system 目录下)
·ADMIN.DLL (在根目录下或所有的分区C:\,，D:\， E:\ 等等的根目录下)
·WININIT.INI (在Windows 目录下)
·在所有的分区的根目录下查找任何意隐藏方式存在RICHED20.DLL文件并删除他们。
·将干净的RICHED20.DLL 方回到system32 目录之下。
有些文件可能被你的系统锁住(被感染的系统文件,或被病毒使用的文件)。必须注意这些
被锁
住的文件。关掉GUI,进入到纯 DOS状态下，如果必要的话,重新启动机器，然后手工重命
名/删
除/移走这些文件。 如果你运行的是WinNT, Win2K 或 WinXP中的任何一个版本, (或者
是同样
机制的系统)那么必须以不可执行的文件后坠名来对其重新命名，以确保在你重新进入时
这些
文件处于非执行状态。
该病毒还自我复制到临时文件夹中，并随机的以MEP*.TMP 和 MA*.TMP.EXE 来命名,例如
:
·  mep01A2.TMP
·  p1A0.TMP.exe
·  pE002.TMP.exe
·  pE003.TMP.exe
·  pE004.TMP
·  README.EXE
·  root.exe
为了安全起见，从临时文件夹中删除所有的以.TMP为后缀名的文件:
·  \Temp\
·  \Windows\Temp\
·  \documents and settings\username\local settings\temp
l   重新启动计算机
l   删除被感染的message 文件。
    删除所有的由病毒产生的.EML文件。这些文件的被随机命名为.EML (大部分)或.NWS 
(偶尔)
文件。
l   清理HTML 文件。
检查所有带有'DEFAULT','INDEX', 'MAIN'和'README'字段的 *.HTML, *.ASP, 和 *.HT
M 文件
，看其中是否带有小程序脚本（JavaScript）其目标文件指向README.EML 文件，将其删
除或
从备份文件中加以恢复。这种JavaScript 代码存在于每个被感染的文件的尾部。
    我们可以使用Windows自带的搜索工具来搜索包含“readme.eml”的上述类型的文件,
 要加
快搜索速度，你可以连续开两个搜索窗口，分别对*.htm*和*.asp 进行搜索，并查看其
中是否
包含readme.eml 字段,但是要密切注意下面默认的文件名是否正确：
        index.html
        index.htm
        index.asp
        readme.html
        readme.htm
        readme.asp
        main.html
        main.htm
        main.asp
        default.html
        default.htm
        default.asp
l   去除GUEST的admin权限。
查看是否GUEST 账户存在于 ADMINITRATORS 组中;如果发现，将其从中清除。
l   重新设置共享。
查看本地磁盘的共享情况并去除不必要的共享; 被感染的系统的共享被病毒赋予 admin
权限。
安全起见，先删掉所有的共享然后重新设置共享并赋予其正确的权限。这一步必须要做
，因为
病毒将会影响到共享的安全性。查看时要特别注意\\localhost\c$ 的共享权限。
l   修补漏洞!  加上相应的MS补丁。
将您在断网前下载的补丁运行。
l   恢复您自己的数据文件，重新连回到网络。
此时，你的系统是干净的，但是不敢确保你的系统不被其他病毒再次感染。
方法二
l   （紧接上述3步骤之后）从网上下载最新的防病毒库和杀毒工具。
例如 赛曼铁克的方案
http://www.symantec.com/region/cn/avcenter/w32.nimda.a@mm_tool.html
http://www.symantec.com/avcenter/venc/data/w32.nimda.a@mm.html
l   将机器从网络上断开，运行杀毒程序，清杀病毒。
l   按防病毒软件的厂商的提示，修补某些系统文件。
l   修补漏洞!  加上相应的Mcrosoft补丁。
l   恢复您自己的数据文件，重新连回到网络。
详情参看：http://netsupport.tsinghua.edu.cn/nimda.htm
清华大学网络中心     2001年9月24日
Email:            support@tsinghua.edu.cn
Tel:                010-62784859
Fax:               010-62785933

--
想说爱你不容易
※ 来源:·听涛站 tingtao.dhs.org·[FROM: 匿名天使的家]