荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: fast (快), 信区: Virus
标 题: 尼姆达五个变种
发信站: 荔园晨风BBS站 (Tue Nov 6 22:23:50 2001), 转信
尼姆达五个变种
------------------------------------------------------------------------
--------
涉及程序:
Nimda
描述:
尼姆达五个变种之比较及尼姆达完全解决方案
详细:
2001年9月18日出现的尼姆达病毒病可说是本年度最为凶猛的恶意蠕虫病毒,岂今
为止已给全球带来不可估量的经济损失。该病毒不仅传播速度快、危害性强,而且
自我繁殖能力更是位居各大病毒之首,自它惊现江湖以来,已有五种新变种相继粉
墨登场,作恶不可谓不大。现就对五个变种作如下比较:
Nimda.a
这是9月18日出现的最初版本,它主要通过以下几种不同的方式入侵用户的电脑:
1. 文件感染 :尼姆达在本地机器上寻找系统中的EXE文件,并将病毒代码置入
原文件体内,从而达到对文件的感染。当用户执行像游戏一类的受感染的程序文件
时,病毒就开始传播。
2. 邮件感染 :尼姆达通过MAPI从邮件的客户端及本地的HTML文件中搜索邮件地
址,然后将病毒发送给这些地址。这些邮件都包含一个名为README.EXE的附件,在
某些系统中该附件能够自动执行,从而感染整个系统。
3. 网络蠕虫 :它还会通过扫描internet,来试图寻找www服务器,一旦找到
WEB服务器,该病毒便会利用已知的安全漏洞来感染该服务器,若感染成功,就会
任意修改该站点的WEB页,当在WEB上冲浪的用户浏览该站点时,不知不觉中便会被
自动感染。
4. 局域网传播 :它还会搜索本地网络的共享文件,无论是文件服务器还是终端
客户机,一旦找到,便会将一个名为RIHED20.DLL的隐藏文件加入到每一个包含
DOC和EML文件的目录中。当别的用户打开这些目录下的DOC或EML文档时, word、
写字板、outlook等应用程序将执行RICHED20.DLL文件,从而使机器被感染。同时
该病毒还可以感染服务器上被启动的远程文件。
除了入侵电脑外,它还会通过利用IIS的WEB服务器文件夹遍历漏洞攻击运行微软
IIS软件的服务器。
Nimda.b
在a的基础上作了轻微的改变,利用PCShrink进行了压缩。文件名README.EXE及
README.EML改成了PUTA!!.SCR及PUTA!!.EML。
Nimda.c
与最初版a基本相似,但通过压缩软件UPX进行了压缩。
Nimda.d
在a的基础上也作了轻微的改变,但利用的是PECompact进行压缩。唯一明显不同
的是源文件中出现的“版权”文本变为“大屠杀”病毒(HoloCaust Virus.!);
作者为西班牙的Stephan Fernandez (V.5.2 by Stephan Fernandez.Spain)。
Nimda.e
该变种是于10月30日凌晨发现。根据病毒专家对此变种的技术分析得知,其危害
性与最初版的尼姆达有过之而无不及,而且将会是近期在互联网上迅速传播的大热
恶意蠕虫。它与Nimda.a的不同之处在于:
1、附件名字从Readme.exe改为Sample.exe
2、感染IIS系统时生成的文件从Admin.dll改为Httpodbc.dll
3、在NT/2000及相关系统,病毒拷贝自己到windows的system目录下,不再叫
mmc.exe,而用Csrss.exe的名字
解决方案:
尼姆达病毒最新解决方案:
最终用户
为防止计算机通过e-mail渠道被感染,请用以下产品之一升级您的Internet
Explorer:
Microsoft 安全公告(Security Bulletin) MS01-020提供的补丁程序
Internet Explorer 5.01 Service Pack 2
Internet Explorer 5.5 Service Pack 2
Internet Explorer 6
系统管理员
防止系统感染上红色代码II(Code Red II)蠕虫病毒,并且使用工具修复已被该
病毒感染的系统。(Code Red II病毒会在系统中留下“后门”,而Nimda病毒会利
用这个“后门”)
通过应用或安装任何一种以下产品,消除“Web Server Folder Traversal”漏洞
:
应用Microsoft Security Bulletin MS00-057中提供的补丁程序
应用Microsoft Security Bulletin MS00-078中提供的补丁程序
应用Microsoft Security Bulletin MS00-086中提供的补丁程序
应用Microsoft Security Bulletin MS00-026中提供的补丁程序
应用Microsoft Security Bulletin MS01-044中提供的补丁程序
安装Windows 2000 Service Pack 2
安装Windows NT 4.0 Security Roll-up Package
以默认模式安装IIS Lockdown Tool
以默认的规则集安装URLScan工具
通过关闭所有计算机的权限防止病毒通过文件共享进行传播
附加信息
病毒的正式名称为W32/Nimda@MM,但是该病毒通常还被叫做“Nimda”蠕虫病毒。
它会试图通过以下三种不同的方式进行传播:
Email:受感染的计算机会尝试通过e-mail发送病毒副本来传染其它用户。
Web服务器:受感染的计算机会尝试通过寻找已经受到破坏的Web服务器或利用已知
的IIS服务器漏洞来传染其它的Web服务器。
文件共享:受到感染的计算机会对系统进行搜索,试图找到一个被配置为允许任何
人向其中添加文件的共享文件夹。如果找到这样的一个文件夹,它将向其中写入受
感染的文件。
Email
蠕虫病毒会利用在Microsoft Security Bulletin MS01-020中讨论过的安全漏洞将
自身藏在邮件中,并向其他用户发送一个病毒副本来进行传播。正如在公告中所描
述的那样,该漏洞存在于Internet Explorer之中,但是可以通过e-mail来利用。
只需简单地打开邮件就会使机器感染上病毒 — 并不需要您打开邮件附件。
防病毒厂商正在开发能检测和清除病毒邮件的升级扫描工具。但是即使使用了这些
工具,您也必须应用IE的补丁或安装IE的升级版本来消除这个漏洞。那些已经安装
了上面所列出的IE升级程序的用户不会因为邮件而受到病毒的感染。
Web 服务器
该病毒攻击IIS 4.0和5.0Web服务器,它主要通过两种手段来进行攻击:第一,它
检查计算机是否已经被Code Red II病毒所破坏,因为Code Red II病毒会创建一个
“后门”,任何恶意用户都可以利用这个“后门”获得对系统的控制权。如果
Nimda 病毒发现了这样的机器,它会简单地使用Code Red II病毒留下的后门来感
染机器。第二,病毒会试图利用“Web Server Folder Traversal”漏洞来感染机
器。如果它成功地找到了这个漏洞,病毒会使用它来感染系统。
可以使用工具来删除Code Red II蠕虫病毒留下的后门。但是,最好的做法是按照
上面步骤1中的指示,一并防止受到Code Red II病毒的感染。
文件共享
病毒传播的最后一种手段是通过文件共享来进行传播。Windows系统可以被配置成
允许其他用户读写系统中的文件。允许所有人都可以访问您的文件会导致很糟糕的
安全性,而且默认情况下,Windows系统仅仅允许授权用户访问系统中的文件。然
而,如果病毒发现系统被配置为其他用户可以在系统中创建文件,它会在其中添加
文件来传播病毒。您可以使用Microsoft个人安全顾问(Personal Security
Advisor)来检查您的系统是否存在错误的共享配置
更多资源
Microsoft将继续对病毒进行研究,并将根据研究结果提供升级信息。与此同时,
您可以从以下资源获取相应的附加信息:
1.CERT Coordination Center
2.Network Associates
--
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.0.101]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店