● 金山率先发现之新“概念”（又称尼姆达）病毒简 - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: master (genius), 信区: Virus
标题: 金山率先发现之新“概念”（又称尼姆达）病毒简介
发信站: 荔园晨风BBS站 (Wed Sep 19 15:04:56 2001), 转信

发布时间：2001-09-19 10:42:58
　　金山公司刚刚率先发现的新蠕虫--------“概念”（又称尼姆达）病毒（
Worm.Concept.57344），又是一种会通过email电子邮件进行传播的恶意蠕虫。当
用户邮件的正文为空时，似乎没有附件，实际上邮件中嵌入了病毒的执行代码。只
要用户用OUTLOOK、OUTLOOK EXPRESS（没有安装微软的补丁包的情况下）收取邮件
，在预览邮件时，病毒的执行代码就已经在不知不觉中执行了。执行时会将自身复
制到临时目录下，再运行在临时目录中的副本。

　　该病毒还会在windows的system目录中生成load.exe文件，同时修改system.
ini中的shell，把shell=explorer.exe改为explorer.exe load.exe –
dontrunold，从而使病毒在下次系统启动时仍能被激活。另外，在system目录下，
该病毒还会生成一个副本：riched20.dll。riched20.dll目录在windows系统中就
存在，它就会把它覆盖掉了。

　　病毒复制到临时目录下的副本（有两个文件，文件名为？？？？？？？.tmp.
exe），在系统下次启动时，病毒会将他们删除（修改wininit.ini文件）。

　　为了通过邮件将自己传播出去，该病毒使用了MAPI函数读取用户的email并从
中读取SMTP地址和email地址。病毒还在windows的临时目录下生成一个eml格式的
临时文件，大小为79225字节，该文件已经用BASE64编码将病毒包含进去。然后，
病毒就用取得的地址将带毒邮件发送出去。

　　病毒的第二种传播途径就是用与CodeBlue极其相似的方法，使用了IIS的
UNICODE漏洞。

　　该病毒的第三种传播途径则是通过局域网的共享，传播到其它windows系统下
。
另外，病毒运行时会利用ShellExcute执行系统中的一些命令如：NET.EXE、USER.
EXE、SHARE.EXE等等，将Guest用户添加到Guests、Administrators组（针对
NT/2000/XP），并激活Guest用户。还会将C盘根目录共享出来。

--
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.47.31]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店