人民网北京11月2日讯 前不久大面积流行、肆虐一时的“中国一号”(尼姆达)“I-WORM/CHINA-1”(Nimda)网络蠕虫病毒,各大反病毒软件厂商都已出台了防治措施,升级了自己的病毒库。目前,该病毒经过改头换面,衍生了几种变种,大有卷土重来之势。
“中国一号”(尼姆达)的变种病毒修改了原来的一些内部错误(BUG),并对主程序做了一些改进,目的是防止反病毒软件来查杀。变种病毒体内含有以下的字符串:Concept Virus(CV) V.6, Copyright(C)2001。
变种蠕虫程序使用了不同的文件名称以及生成文件的大小都与以前不同。与之前相比具有如下特征:
病毒仍然针对WINDOWS 9X/ME、WINDOWS NT、WINDOWS 2000操作系统进行传染。
当打开含有病毒邮件时,病毒利用病毒体内VBScript代码在本地的可执行性(通过Windows Script Host进行),对当前计算机进行感染和破坏。即,一旦我们将鼠标箭头移到带有病毒体的邮件名上时,就能受到该网络蠕虫的感染。这种传染机制是利用的是OUTLOOK的漏洞,传染能力很强。在此之前,反病毒专家先前早已预料过、微软的信件浏览器非常脆弱,漏洞很严重,很快就会出现许多针对其弱点而具有高超传染能力的病毒。“中国一号”(尼姆达)就是针对微软信件浏览器的弱点和WINDOWS NT/2000、IIS的漏洞而编写出的一种传播能力极强的病毒。
较前相比,变种病毒的附件文件由原来的readme.exe修改为Sample.exe,文件的大小是:57344字节。释放的DLL文件名称由admin.dll变成了Httpodbc.dll,原来拷贝到WINDOWS的SYSTEM目录下的文件是Mmc.exe,修改后成为了Csrss.exe 文件。
变种网络蠕虫的破坏表现是感染Html、nws、.eml、.doc、.exe等文件,并将大部分文件破坏或替换。病毒是利用系统中的Email地址发送病毒本身,其附件长度约为79225字节,但打开看时,其长度为0,该文件实际上就是病毒本身。
在局域网中,该病毒会自动将受感染的机器中的C盘共享,使得外部的用户可以访问系统目录,而同时该病毒还可以建立一个guest访问的用户而且该用户的权限是系统管理员级别的。
病毒对系统文件SYSTEM.INI进行了修改:[boot]shell=explorer.exe load.exe -dontrunold,这样在系统每次启动时该病毒就会传染,驻留内存。
病毒利用IIS5.0的漏洞,上传ADMIN.DLL在C:、D:...并修改用户的主页,在主页后加了一个链接README.EML。感染的电脑均不断生成一个个随机文件名的eml文件,病毒还在C:INETPUBScripts或WINDOWSTEMP目录中不断复制为TFTP00X.DAT的文件,其字节数为:57344字节。
变种病毒有以下4种传播方式:
1. 通过EMAIL发送在客户端看不到的邮件附件程序Sample.exe,该部分利用了微软的OE信件浏览器的漏洞;
2. 通过网络共享的方式来传染给局域网络上的网络邻居,我们在网络上使用电脑时,建议不设置完全的不使用密码的共享方式,设置密码可以有效的防止该病毒的传播;
3. 通过没有补丁的IIS服务器来传播,该传播往往是病毒屡杀不绝的原因;
4. 通过感染普通的文件来传播,在这一点上和普通的病毒程序相同。
实际上(1)和(3),我们普通的用户只有将微软的补丁程序打上,才能有效预防, 这是我们日常工作的习惯性的问题,或者说是病毒利用了人们在使用中的疏忽。该微软漏洞补丁程序的下载地址在:
http://www.microsoft.com/technet/security/bulletin/ms00-078.asp
微软升级的OUTLOOK的MIME漏洞补丁程序的下载地址:
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
病毒的清除:
1 如果用户的硬盘分区是WINDOWS NI4、WINDOWS 2000、WINDOWS XP的NTFS格式,请用户安装KVW3000 5.0以上版本, 该版本可在任何WINDOWS系统下杀除内存和被WINDOWS已经调用的染毒文件,可在系统染毒的情况下杀除病毒,目前只有KVW3000真正具备内存杀毒和毒中杀毒这一技术。
方法是:双击桌面上KVW3000的快捷图标,调出菜单即可。
2 如果用户硬盘装的系统是WINDOWS 98 以下,也可使用干净DOS软盘启动机器;
3 执行KV3000.EXE或KVD3000, 查杀所有硬盘,查到病毒体时会先问你要删除吗?
请按“Y”键删除病毒体。其它被感染的文件,如.EXE文件, KV3000.EXE或KVD3000会将病毒体从文件中清除,保留原文件, 而有的杀毒软件只会将其删除。
4 在SYSTEM.INI文件中将LOAD.EXE的文件改掉,如没有变,就不用改。正常的[boot]下的应该是shell=explorer.exe.必须修改该文件中的shell项目,否则清除病毒后,系统启动会提示有关load.exe的错误信息。
5 为了预防该病毒在浏览该带毒信笺可以自动执行的特点,必须下载微软的补丁程序。
地址是:
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp.这样可以预防此类病毒的破坏。
6、WINDOWS 2000如果不需要可执行的CGI,可以删除可执行虚拟目录,例如/scripts等等。
7、如果确实需要可执行的虚拟目录,建议可执行虚拟目录单独在一个分区
8、对WINDOWS NT/2000系统,微软已经发布了一个安全补丁,可以从下列地址下载:
http://www.microsoft.com/technet/security/bulletin/ms00-078.asp.
9、病毒被清除后, 在windows的system目录下的文件riched20.dll将被删除,请从WINDOWS的安装盘上或再无毒机中拷贝一份干净的无病毒的该文件,否则的话,写字板和OFFICE, WORD等程序将不能正常运行。
10 开启KVW3000实时监测病毒防火墙。
11、再将邮箱中的带毒邮件一一删除,否则又会重复感染。
再次提醒广大用户该病毒传播能力极强,必须加强防范。拥有KV3000的用户可在江民公司的网站www.jiangmin.com下载最新的病毒库进行升级。
|