computer 版 (精华区)

发信人: neverbw (汇编汇编我爱你！), 信区: network
标  题: 肆虐全球的尼姆达五个变种之比较
发信站: 听涛站 (2001年11月01日12:32:01 星期四), 站内信件

2001年9月18日出现的尼姆达病毒可说是本年度最为凶猛的恶意蠕虫病毒，岂今为止已给
全球带来不可估量的经济损失。该病毒不仅传播速度快、危害性强，而且自我繁殖能力
更是位居各大病毒之首，自它惊现江湖以来，已有五种新变种相继粉墨登场，作恶不可
谓不大。现就对五个变种作如下比较：
Nimda.a
　　这是9月18日出现的最初版本，它主要通过以下几种不同的方式入侵用户的电脑：a
d('right');>
　　1. 文件感染 ：尼姆达在本地机器上寻找系统中的EXE文件，并将病毒代码置入原文
件体内，从而达到对文件的感染。当用户执行像游戏一类的受感染的程序文件时，病毒
就开始传播。
　　2. 邮件感染 ：尼姆达通过MAPI从邮件的客户端及本地的HTML文件中搜索邮件地址
，然后将病毒发送给这些地址。这些邮件都包含一个名为README.EXE的附件，在某些系
统中该附件能够自动执行，从而感染整个系统。
　　3. 网络蠕虫 ：它还会通过扫描internet，来试图寻找www服务器，一旦找到WEB服
务器，该病毒便会利用已知的安全漏洞来感染该服务器，若感染成功，就会任意修改该
站点的WEB页，当在WEB上冲浪的用户浏览该站点时，不知不觉中便会被自动感染。
　　4. 局域网传播 ：它还会搜索本地网络的共享文件，无论是文件服务器还是终端客
户机，一旦找到，便会将一个名为RICHED20.DLL的隐藏文件加入到每一个包含DOC和EML
文件的目录中。当别的用户打开这些目录下的DOC或EML文档时， word、写字板、outlo
ok等应用程序将执行RICHED20.DLL文件，从而使机器被感染。同时该病毒还可以感染服
务器上被启动的远程文件。
　　除了入侵电脑外，它还会通过利用IIS的WEB服务器文件夹遍历漏洞攻击运行微软II
S软件的服务器。
Nimda.b
　　在a的基础上作了轻微的改变，利用PCShrink进行了压缩。文件名README.EXE及 RE
ADME.EML改成了PUTA!!.SCR及PUTA!!.EML。
Nimda.c
　　与最初版a基本相似，但通过压缩软件UPX进行了压缩。
Nimda.d
　　在a的基础上也作了轻微的改变，但利用的是PECompact进行压缩。唯一明显不同的
是源文件中出现的“版权”文本变为“大屠杀”病毒（HoloCaust Virus.!）； 作者为
西班牙的Stephan Fernandez （V.5.2 by Stephan Fernandez.Spain）。
Nimda.e
　　该变种是金山公司反病毒应急处理中心于10月30日凌晨发现。根据金山公司对此变
种的技术分析得知，其危害性与最初版的尼姆达有过之而无不及，而且将会是近期在互
联网上迅速传播的大热恶意蠕虫。它与Nimda.a的不同之处在于：
　　1、附件名字从Readme.exe改为Sample.exe
　　2、感染IIS系统时生成的文件从Admin.dll改为Httpodbc.dll
　　3、在NT/2000及相关系统，病毒拷贝自己到windows的system目录下，不再叫mmc.e
xe，而用Csrss.exe的名字
　　用户可尽快更新杀毒软件或到金山毒霸网站下载专杀工具，以防患于未然。

--
   
       欢迎访问   ftp://neverbw.dhs.org
※ 来源:·听涛站 tingtao.dhs.org·[FROM: 匿名天使的家]