computer 版 (精华区)

发信人: neverbw (一切随缘), 信区: network
标  题: “尼姆达”新变种PE_NIMDA.G在网上出现
发信站: 听涛站 (2001年12月06日23:27:56 星期四), 站内信件

病毒名称：PE_NIMDA.G
类型：蠕虫
破坏性：无
风险级数： 低
别名：NIMDA.G， NIMDA， Iworm.Nimda
病毒描述：
　　继“尼姆达”病毒的诸多变种出现后，12月初，趋势科技又发现一种该病毒的新变
种PE_NIMDA.G病毒出现，正在互联网上快速散播。
　　PE_NIMDA.G病毒也属于蠕虫病毒， 使用ASPack 2000方式压缩，大小为35，840 By
tes。传播方式与PE_NIMDA.A病毒类似，主要通过email、FTP、文件共享、IIS连接方式
传播。PE_Nimda.G病毒的新特征在于携带该病毒的文件名和所含蠕虫病毒的字符不同。

　　通过Email方式传播该病毒时，email文件名改为Xerox!.eml，而携带PE_Nimda.A病
毒的邮件名称为readme.eml。其中夹带的附件名称也由 readme.exe 改为 Xerox!.exe 
。
　　名为Guest.dl的蠕虫复本还会通过FTP方式上传到指定的计算机，而PE_Nimda.A的复
本名称为ADMIN.DLL。
　　有时，该病毒会删除病毒所在目录的Xerox!*.exe文件，而PE_Nimda.A将删除名为r
eadme*.exe的文件。
　　在该蠕虫的主体之后包含如下的字符：Bin Laden is a hero of Xerox! Laden is
 hero 4ever!
　　除以上提及的情况外，PE_Nimda.D、Pe_Nimda.A与该病毒在功能上基本相似，可参
看相关的病毒介绍。
解决方案：
　　受到尼姆达及其变种病毒感染的用户请尽快下载Fix_Nimda v3.00工具。 此工具用
来清除受到尼姆达及其变种病毒(PE_Nimda.a~g)感染的计算机。此工具包含以下文件：

　　FIX_NIMDA.EXE ：对于尼姆达及其变种病毒(PE_Nimda.a~g)的修复工具。
　　README_NIMDA.TXT ：说明文档。
　　由于该病毒将本地硬盘共享，从而降低系统的安全性能，因此你首先应检查并取消
系统的共享属性。
　手动方式：
　　1.点击开启-》运行，输入SYSTEM.INI命令，回车确认。
　　2.查找"Shell ="条目，并做如下更改：
　　将 Shell = explorer.exe load.exe -dontrunold 更改为Shell = explorer.exe
　　3.保存并关闭SYSTEM.INI文件。
　　4.开启windows资源管理器，修改系统文件夹设置：
　　·Windows 9x系统：点击菜单 查看-》文件夹选项
　　·Windows ME系统：点击菜单 工具-》文件夹选项
　　·Windows NT/2000系统：点击菜单 查看-》文件夹选项
　　5.将查看-》文件和文件夹-》隐藏文件 项点选为“显示所有文件”
　　6.点击开始-》运行，输入WININIT.INI，删除全部内容，存盘退出。
　　7.重新启动计算机，趋势科技产品用户请立即更新扫瞄引擎至5.20以上和病毒码至
174/974(含)以上，扫瞄整个系统，以侦测及清除此病毒。其他用户可使用趋势免费在线
扫瞄程序HouseCall。
　　8.请如果你使用微软IE 浏览器，请连接下列微软公司网站更新 IE 的补丁程序
a)·Internet Explorer 5.01 SP2 用户：
http://www.microsoft.com/windows/ie/downloads/recommended/
ie501sp2/default.asp
　　　·IE 5.5 SP2 用户
http://www.microsoft.com/windows/ie/downloads/recommended/
ie55sp2/default.asp
　　　·IE 6.0 用户
http://www.microsoft.com/windows/ie/downloads/ie6/default.asp
　　　·其他IE用户：
http://www.microsoft.com/windows/ie/downloads/critical/patch9/
default.asp
　　b)NT 4 用户:
http://www.microsoft.com/ntserver/nts/downloads/recommended/
SP6/allSP6.asp
　　c)安全修复包：
http://support.microsoft.com/support/kb/articles/q299/4/
44.asp?ID=299444
　　d)IIS有关安全补丁：
http://www.microsoft.com/technet/security/bulletin/MS01-044.asp
　　e)IIS 5.0 (Windows 2000 Server) ：
http://www.microsoft.com/windows2000/downloads/servicepacks/
sp2/default.asp
　　f)这个蠕虫会利用 'Microsoft IE MIME Header Attachment Execution Vulnerab
ility' 以便于执行e-mail夹带的病毒，请连接至下列更新路径：
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
　　g)若你有IIS主机 ， 病毒也会攻击 含有 'Microsoft Web Server Folder Traver
sal" 服务的主机。 请连接至下列网站更新路径：http://www.microsoft.com/technet
/security/bulletin/ms00-078.asp
　　9.使用无毒RICHED20.DLL文件覆盖原文件

--
         当爱情不再完美
         我宁愿选择无悔
        不管来生多么美丽
    我无法失去今生对你的记忆!

※ 来源:·听涛站 tingtao.dhs.org·[FROM: 匿名天使的家]