|
一、Nimda黑客蠕虫病毒情况简介
肆虐全球的 CodeRed 红色代码蠕虫病毒的余波尚未平息,又一种破坏力极强的新病毒已经开始象野火一 样开始在互联网上蔓延开来,这种名为Nimda[W32.Nimda.A@mm或者W32.Nimda.A@mm(html)或者W32.Nimda.A@mm(dll)]的病毒于18日上午9:08被发现,半小时之内就传遍了世界,其传播范围和破坏程度大大超过前一段时间极度肆虐的“红色代码”病毒。 据Symantec报告,目前已有1000多例感染病例,10 多个站点被感染。冠群金辰反病毒监测网也报告我国各地均有病毒的感染案例。由于此病毒能通过多种方法攻击Win32系统,一种方法不行它会尝试另外一种方法攻击,直至成功,其攻击对网络造成的通信阻塞是空前的。目前已有多家报告因受此病毒攻击,造成网络瘫痪,其危害性不言而喻。
Nimda的蠕虫病毒与以往的蠕虫病毒有很大不同,它可通过三种方式传播:Email附件、HTTP、硬盘共享,并且能感染所有32位Windows 操作系统:Windows 98/Me, NT,2000, XP。
这种新病毒也是利用运行于视窗NT或视窗2000上的微软互联网服务器软件存在的安全隐患展开攻击,这一点与“红色代码”病毒相同,但它同时也可以感染客户端。即用户在浏览染毒的网页时就可能会受到感染。此病毒还通过Ooutlook,Outlook Express邮件客户端传播,会在用户访问带毒的邮件时在用户毫不知晓的情况下感染用户的系统,这一点又与前一段时间流行的邮件蠕虫病毒Happytime很相似。此外,它对系统共享也作了手脚,为每个盘符创建网络共享。在 Win9x/ME系统上,该共享被设置为完全共享,无需密码。在WinNT/2K系统上,GUEST用户被赋予管理员权限,并得到共享权限。在网络共享这一方面,又与Funlove病毒相似。
二、手工清除病毒
Symantec和冠群金辰都提供了类似的手工清毒方案:
(一)使用NAV2001或者NAV2002杀毒
1、运行LiveUpdate,更新最新的病毒代码;
2、启动NAV,扫描系统中所有文件。
3、如果NAV报告感染了W32.Nimda.A@mm或者W32.Nimda.A@mm(html),点击修复Repair。
4、如果NAV报告感染了W32.Nimda.A@mm(dr)或者W32.Nimda.A@mm(dll),点击删除Delete。
5、如果需要,替换admin.dll和riched20.dll文件。
6、重启计算机。
7、重复步骤1-6,直到检测不到W32.Nimda.A@mm为止。
8、如果System.ini文件[load]中有“shell=explorer.exe load.exe-dontrunold”,删除load.exe -dontrunold。
9、删除不必要的共享。
10、删除Administrator组中的guest帐号。
(二)冠群金辰方案
1、从微软网站
www.microsoft.com/technet/security/bulletin/ms00-078.asp和
www.microsoft.com/technet/security/bulletin/MS01-020.asp下载相应
补丁并执行,然后关闭本机的所有共享。
2、按ctrl-alt-del,结束“xxx.tmp.exe”以及“Load.exe”的进程。
3、删除temp目录中的文件。
4、用干净的 Riched20.DLL(大约100k)文件替换染毒的同名Riched20.DLL文件(57344字节)。
5、删除系统目录下的load.exe文件(57344字节),windows根目录下的mmc.exe文件,在C:\、D:\、E:\ 三个逻辑盘的根目录下如果有Admin.DLL文件,删除这些文件,查找文件名为Readme.eml的文件,删除它。
6、System.ini文件[load]中如果有一行“shell=explorer.exe load.exe-dontrunold”,改为“shell=explorer.exe”
7、删除HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Network\LanMan\和HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\MapMail\的键值。
8、如果是WinNT或者Win2000,打开“控制面板|用户和密码”,将Administrator组中的guest帐号删除。KILL的最新病毒特征码28.06已可查杀此病毒。
| 
