computer 版 (精华区)

发信人: neverbw (汇编汇编我爱你！), 信区: network
标  题: 警惕极度危险的“新概念”新蠕虫病毒感染
发信站: 听涛站 (2001年11月01日12:36:24 星期四), 站内信件

2001年10月29日深夜12点，天网实验室的技术人员在工作的时候，发现所接收的邮件中
出现了新的病毒在传播，使用各种病毒软件查杀后发现病毒软件的现有病毒库无法辨识
这种新病毒，更加无法进行查杀。天网实验室的技术人员随即对这种新病毒进行研究，
初步总结出这种病毒具有以下几种主要特征：
　　1、这种新病毒是通过电子邮件进行传播的，邮件的发件人不定，但是邮件主题一般
都是一长串的乱码。
　　2、这种新病毒是通过利用微软IE浏览器解释outlook邮件MIME头的漏洞进行感染和
传播的，利用属性为"audio/x-wav",文件名为"sample.exe"的MIME信体进行传播，病毒
可以在用户收邮件的时候不知不觉的感染用户的机器；并且利用用户的邮件服务器向外
传播。用户在阅读到带有病毒的电子邮件时，病毒会在用户毫不知情的情况下，自动把
相应程序下载的用户本机上，并且自动执行。而某些打有一定系统补丁的用户当收到某
些邮件，系统会询问你已经下载文件，是否在文件当前位置打开时，选择“取消”，以
避免执行了病毒程序；
　　3、受到病毒感染的用户系统会不停地向外界发出对各种IP地址80端口的访问，用户
通过在DOS界面键入 netstat -na 的命令，就可以看到本机有大量的对外部各种IP地址
80端口的访问连接情况；
　　4、这种新病毒会感染以EXE为后缀的可执行文件，把原执行文件copy成"源文件名+
空格.exe"的格式，而原执行文件虽然还以原本方式存在，但是已经受病毒感染，一旦执
行将会引发新的病毒感染；
　　5、受病毒感染的用户一旦访问到局域网内其他主机的共享目录，将会在所访问的共
享目录写入以.eml结尾的文件；
　　经过天网安全实验室的技术人员的进一步分析，发现这个病毒代码包含"Concept V
irus(CV) V.6, Copyright(C)2001, (This's CV, No Nimda.)" ，意思是说这个病毒叫
"Concept"而不是"Nimda"，该病毒的原型被国外防病毒公司命名为"Nimda"，在此病毒作
者为病毒“正名”，非常有趣，由于第一版本的病毒代码中出现过"P.R.China"字样，估
计病毒的作者是一名中国人。
　　防范办法：
　　1、由于这个病毒是一个新型病毒，目前所有病毒软件的最新病毒库都无法辨识这种
病毒，从而进行查杀，因此需要预先做好安全防范工作；
　　2、由于这个病毒是利用微软IE浏览器解释outlook邮件MIME头的漏洞进行感染和传
播的，因此建议用户马上对本机系统做好打补丁工作。一方面，可以利用微软官方的最
新补丁程序，至少要安装Service Patch 2以上版本的最新补丁；另一个方面，可以可以
用天网防火墙个人版自带的漏洞检测与修复系统可以检查出WINDOWS中严重的系统漏洞，
并自动修复它。目前的天网个人版(测试版)中所带的漏洞检测与修复系统已经可以检查
和修复这种新病毒赖以传染和传播的 IE浏览器漏洞，所以对于防护这种病毒而言，是一
个不可多得的顺手工具。经过了漏洞检测与修复系统修复之后的系统，新型病毒就无法
直接在用户的机器上自动运行了。
　　3、因为病毒会调用网络邮件传输，所以可以通过天网防火墙个人版来发现潜藏的新
型病毒程序。用户可以发现新型病毒会利用本地的邮件服务发邮件出去，用户可以很明
显的看到病毒副本所在的目录路径以及它所准备传播的地址。通过防火墙的应用程序规
则禁止病毒的主体程序访问网络，可以有效的阻止病毒向外传播，以免为害他人。
　　4、在这一段时间内，建议使用其他邮件客户端程序接受邮件，避免病毒利用IE和O
utlookexpress的漏洞。
　　天网安全实验室的技术人员将会进一步跟进病毒发展的最新情况，作出最新的病毒
通告，及时提醒用户注意防范，并会做出最快的响应和提出有效的措施来帮助用户进行
各种安全防护工作。

--
   
       欢迎访问   ftp://neverbw.dhs.org
※ 来源:·听涛站 tingtao.dhs.org·[FROM: 匿名天使的家]