computer 版 (精华区)

发信人: neverbw (浪子~新键盘好爽阿！), 信区: network
标  题: nimada病毒，经验
发信站: 听涛站 (2001年09月21日09:17:56 星期五), 站内信件

发信人: inew (fly[n.]), 信区: Virus
标  题: nimada病毒，经验
发信站: BBS 水木清华站 (Thu Sep 20 11:16:34 2001)

昨天上午发现的
因为没有网
想手杀 hehe 没有成功
最后还是诺顿
我把分析它的一些情况贴一下把
不要说我八婆
--------------------------------------
1 满世界都是eml不一定是readme.eml也可能叫其他名字
但内容都一样前面有人贴了
2 html,asp什么的被加了一句话
用来打开readme.eml(利用微软ie bug)
但跟fuck某个政府没有关系
那是5月黑客大战时候的事
也是工具自动黑的
3 运行exe文件时
会将原来的文件名后加个空格
生成一个被感染的文件
同时在temp目录下生成两个临时的系统隐藏文件xxx.tmp.exe
应该是原来的好文件备份
不知道这个过程是怎么实现的
实际加载的是感染以后的文件
此时会出现系统错误
7******内存读****内存
我觉得可能病毒本身不是故意产生这个错误的
是和nt 2000没有写好的缘故
如果把加了空格的文件该回去
不会出错也不会二次感染
4 我没有发现内存中的load.exe 和 xxx.tmp.exe进程
（55555555所以杀不掉，怀疑他在什么地方，死活找不到)
5 他攻击我是在红码后门
c:\program files\common files\system\msadc\root.exe
 是在远程时间服务的文件夹里 root.exe是用cmd.exe考的
6 最后用毒霸也杀了
另外一台用诺顿也杀了
伟大的毒霸杀的不彻底不说
还把诺顿给干掉了
气氛！！！
7 强烈建议一开始就用诺顿
！！！！！！！！！！！！！！！！！！！！！！！！！！！！！
--------------------------------------------------------
btw ,谁下到了微软的pach给上载出来的说
欧连不出去 
--
当爱情不再完美我宁愿选择无悔不管来生多么美丽我无法失去今生对你的记忆!

※ 来源:·听涛站 tingtao.dhs.org·[FROM: 匿名天使的家]