荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: foryy (采药人), 信区: Virus
标 题: 清除尼姆达病毒Worms.Nimda的技术建议
发信站: 荔园晨风BBS站 (Sun Sep 23 11:55:58 2001), 转信
介绍:
病毒体内带有W32.Nimda.A@mm字样,因此被命名为“尼姆达”病毒,它是利用了微
软的Unicode Web Traversal exploit.漏洞编写的通过电子邮件传播的新型蠕虫病
毒。这个新型蠕虫通过多种方式进行传播,几乎包括目前所有流行病毒的传播手段
:
1、通过email将自己发送出去,作为附件传播,收件人不用打开该信件只是收信即
会感染。
2、搜索局域网内共享网络资源,自动创建共享连接,在局域网内传播。
3、将病毒文件复制到没有打补丁的微软(NT/2000)IIS服务器。
4、感染本地文件和远程网络共享文件。
5、感染浏览的网页,并感染所有浏览该网页的用户,在下载到客户端。
6、该病毒还能通过“即时聊天”以及“FTP程序”传播
现象:
1、网络速度明显下降,有大量丢包现象。
2、自动向外发E-Mail
3、系统性能明显下降,有大量线程在后台运行
4、打开网页时会有下载对话框弹出,快速闪动几次。(实际是在下载病毒)
5、修改多个系统文件
6、在不同的目录下建立多个readme.exe或有相关名称的文件
解决方法:
1、马上切断网络连接
2、立即用最新版的杀毒软件查杀(病毒库应是2001.9.19日后的)推荐用诺顿或瑞
星
注:诺顿不能查杀所有病毒,但可以将其隔离
瑞星会删除染毒文件,但有可能破坏系统
3、参看手动清除方法,将所有被改动的地方全部恢复。
4、服务器打补丁,
参见微软安全网站:http://www.microsoft.
com/technet/security/bulletin/MS01-020.asp。同时,该漏洞已有安全补丁:
http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.
asp。
5、恢复网络连接
手动清除方法:
1、打开进程管理器,查看进程列表;
2、结束其中进程名称为“xxx.tmp.exe”以及“Load.exe”的进程(其中
xxx为任意文件名);
3、切换到系统的TEMP目录,寻找文件长度为57344的文件,删掉它们;
4、切换到系统的System目录,寻找名称为Riched20.DLL的文件;
5、查看Riched20.DLL的文件大小,系统的正常文件大小应该在100K以上,而
Concept病毒的副本大小为57344字节,如果有长度为57344字节的Riched20.DLL,
删掉它;
6、继续在系统的System目录下寻找名称为load.exe、长度为57344字节的文
件,删掉它,如果不能删除,先进行第8步,再删除。
7、在C:\、D:\、E:\三个逻辑盘的根目录下寻找Admin.DLL文件,如果在根目
录下存在该文件,则删除它;
8、打开System.ini文件,在[load]中如果有一行“shell=explorer.exe
load.exe -dontrunold”,则改为“shell=explorer.exe”;
9、如果是WinNT或者Win2000以及WinXP系统,则打开“控制面板|用户和密码
”,将Administrator组中的guest帐号删除;
10、打开共享文件夹管理,将共享“C$”去除,该共享为本地C:\的完全共享
;
11、搜索整个机器,查找文件名为Readme.eml的文件,如果文件内容中包含
“<HTML><HEAD></HEAD><BODY bgColor=3D#ffffff><br>
<iframe src=3Dcid:EA4DMGBP9p height=3D0 width=3D0><br>
</iframe></BODY></HTML> ”
以及
“Content-Type: audio/x-wav;
name="readme.exe"
Content-Transfer-Encoding: base64
”,则删掉该文件。
只要依照上述方法步骤,便可做到手动清除尼姆达
专杀工具使用说明:(附件中是专杀尼姆达工具)
1、启动Windows操作系统(95/98/Me/NT/2000)
2、断掉一切网络链接(重要!)
3、运行Duba_Concept.exe程序,然后根据对话框上的设置选择路径进行清除。默
认设置情况下,在检查硬盘上的文件前,Duba_Concept会先扫描内存中是否存在
Concept病毒,如果存在,则在内存中清除病毒)。
4、随后,Duba_Concept程序将根据您的选择进行清除工作,对您的Windows下可见
的所有驱动器的全部文件进行查毒,并自动清除所找到的Concept病毒。
5、如果您的计算机上装有IIS,请点击界面上的“微软公司安全升级”的链接,
Duba_Concept会自动指引您下载微软的补丁。运行补丁后重启系统,即可在将来免
除Concept病毒的攻击。
6、至此,Concept病毒就从您的机器里完全被清扫出去了。
下面是一些参考介绍:
Worms.Nimda运行时搜索本地硬盘中的HTM、HTML文件和EXCHANGE邮箱,从中找
到EMAIL地址,并向这些地址发送邮件;搜索网络共享资源,并试图将带毒邮件放
入别人的共享目录;利用CodeBlue病毒的方法攻击随机IP地址,如果是未安装补丁
的IIS服务器就会中毒。该蠕虫用它自己的SMTP服务器发送邮件,同时用已经配置
好的DNS获得一个mail服务器地址。
Worms.Nimda运行时查找本地的HTM/ASP文件,将生成的带毒邮件放入这些文件
中,并加入JavaScript脚本:。这样,每当该网页被打开时,就会自动打开该染毒
的readme.eml。
Worms.Nimda用两种方法感染本地PE文件:一种是查找所有的WINDOWS 应用程序
(在HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Currentversion/App
Paths中),并试图感染,但不感染WINZIP32.EXE;第二种方法搜索所有文件,并试
图感染,被感染的文件会增大约57KB。
如果用户浏览一个已经被感染的web 页时,会被提示下载一个.eml(Outlook
Express)的电子邮件文件。该邮件的MIME头是一个非正常的MIME头,它包含一个附
件--即此蠕虫。这种邮件也可能是别人通过网络共享存入你的计算机,也可能是在
别人的共享目录中。无论如何,只要你在WINDOWS的资源管理器中选中该文件,
WINDOWS将自动预览该文件。由于Outlook Express的一个漏洞导致蠕虫自动运行,
因此,即使你不打开文件也可能中毒。相关信息请参见微软安全网站:
当这个蠕虫执行的时候,它会在WINDOWS目录下生成MMC.EXE文件,并将其属性
改为系统、隐藏;它会用自身覆盖SYSTEM目录下的RICHED20.DLL,这个文件是
OFFICE套件运行的必备库,WINDOWS的写字板等也要用到这个动态库,任何要使用
这个动态库的程序试图启动时都会激活该它;它会将自己复制到SYSTEM目录下,并
改名为LOAD.EXE,同时将SYSTEM.INI文件中的SHELL项改为“explorer.exe load.
exe –dontrunold”,这样,在系统每次启动时将自动运行它;这个蠕虫会在已经
感染的计算机共享所有本地硬盘,同时,这个蠕虫会以超级管理员的权限建立一个
guest的访问帐号,以允许别人进入本地的系统。这个蠕虫改变Explorer的设置这
样就让它无法显示隐藏文件和已知文件的扩展名。
--
衣衫褴褛
赤裸着双手
采摘 品尝 酿制
血和泪的解药
荷着镰锄乘着天微亮
奔向他乡的他乡
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.36.156]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店