荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: joening (潮州佬), 信区: Virus
标 题: 认清“尼姆达”病毒及其变种
发信站: 荔园晨风BBS站 (Fri Dec 21 09:35:09 2001), 转信
今年出现的“尼姆达”(Nimda)给全球用户带来了无可弥补的损失,这种恶意蠕
虫病毒来势凶猛,传播速度快,危害性大,作恶多端。自它出现以来,已发现有五
种变种。现在就对这五种变种作一些简介,以便大家更好地掌握这种病毒的特性。
一、Nimda.a
使用Windows95,98,ME,NT 和2000操作系统的用户,均有可能在接收Email
的同时受到该病毒的感染。用户在浏览受感染的WEB服务器时,浏览器的安全级别
设置在中级以下时,会感染上病毒;用户也有可能被开放网络中的另一客户端感染
。
该病毒以电子邮件为传播媒介,携带该病毒的邮件的包含两部分:第一部分定
义成MIME 的 "text/html"格式,但实际上没有任何文本,所以邮件内容是空的;
第二部分定义成MIME 的 "audio/x-wav"格式,但实际上附带了一个base64编码的
可执行二进制文件,名称为"readme.exe"。通过MAPI从邮件的客户端及本地的
HTML文件中搜索邮件地址,然后将病毒发送给这些地址。在某些系统”readme.
exe”附件能够自动执行,从而感染整个系统。
该病毒可以通过文件感染,它能在本地机器上寻找系统中的EXE文件,并将病
毒代码置入原文件体内,从而达到对文件的感染。此外,它还会通过扫描
Internet,来试图寻找有漏没的WEB服务器,若感染成功,浏览该网站的用户便有
可能惨遭其害。在局域网内,它还会搜索本地网络的共享文件,一旦发现机会便写
入文件,从而使机器被感染。
二、Nimda.b
在Nimada.a的基础上作了轻微的改变,利用PCShrink进行了压缩。附件名从
README.EXE(README.EML)改成了PUTA!!.SCR(PUTA!!.EML)。
三、Nimda.c
在Nimada.a的基础上作了改变,通过UPX进行了压缩。
四、Nimda.d
与Nimada.a相似,利用PECompact进行了压缩。唯一明显不同的是源文件中出
现的“版权”文本变为“大屠杀”病毒(HoloCaust Virus.!); 作者为西班牙的
Stephan Fernandez (V.5.2 by Stephan Fernandez.Spain)。
五、Nimda.e
该变种是金山公司反病毒应急处理中心于10月30日凌晨发现。根据金山公司对
此变种的技术分析得知,其危害性与最初版的尼姆达有过之而无不及,而且将会是
近期在互联网上迅速传播的大热恶意蠕虫。它与Nimda.a的不同之处在于:
1、附件名字从Readme.exe改为Sample.exe
2、感染IIS系统时生成的文件从Admin.dll改为Httpodbc.dll
3、在NT/2000及相关系统,病毒拷贝自己到windows的system目录下,不再叫
mmc.exe,而用Csrss.exe的名字。
--
业精于勤而荒于嬉,行成于思而毁于随.
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 203.93.19.1]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店