| |
|
I-Worm.Nimda (尼姆达)介绍 病毒命名对照 命名 AVP i-worm.nimda 金山 Worm.Concept.57344 流行叫法 尼姆达(概念) 病毒介绍 这个病毒会通过email传播,当用户邮件的正文为空,似乎没有附件,实际上邮件中嵌入了病毒的执行代码,当用户用OUTLOOK、OUTLOOK EXPRESS(没有安装微软的补丁包的情况下)收邮件,在预览邮件时,病毒就已经不知不觉中执行了。病毒执行时会将自己复制到临时目录,再运行在临时目录中的副本。病毒还会在windows的system目录中生成load.exe文件,同时修改system.ini中的shell从shell=explorer.exe改为explorer.exe load.exe -dontrunold,使病毒在下次系统启动时仍然被激活。另外,在system目录下,病毒还会生成一个副本:riched20.dll。而riched20.dll目录在windows系统中就存在,而它就把它覆盖掉了。 而病毒复制到临时目录下的副本(有两个文件,文件名为???????.tmp.exe),病毒会在系统下次启动时将他们删除(修改wininit.ini文件)。 为了通过邮件将自己传播出去,病毒使用了MAPI函数读取用户的email并从中读取SMTP地址和email地址。病毒还在windows的临时目录下生成一个eml格式的临时文件,大小为79225字节,该文件已经用BASE64编码将病毒包含进去。然后,病毒就用取得的地址将带毒邮件发送出去。 病毒的第二种传播途径就是用跟CodeBlue极其相似的方法,使用了IIS的UNICODE漏洞。 病毒的第三种传播途径是通过局域网的共享,传播到其它windows系统下。 另外,病毒运行时会利用ShellExcute执行系统中的一些命令如:NET.EXE、USER.EXE、SHARE.EXE等命令,将Guest用户添加到Guests、Administrators组(针对NT/2000/XP),并激活Guest用户。还将C盘根目录共享出来。 清除 1、打开进程管理器,查看进程列表; 2、结束其中进程名称为“xxx.tmp.exe”以及“Load.exe”的进程(其中xxx为任意文件名); 3、切换到系统的TEMP目录,寻找文件长度为57344的文件,删掉它们; 4、切换到系统的System目录,寻找名称为Riched20.DLL的文件; 5、查看Riched20.DLL的文件大小,系统的正常文件大小应该在100K以上,而Concept病毒的副本大小为57344字节,如果有长度为57344字节的Riched20.DLL,删掉它; 6、继续在系统的System目录下寻找名称为load.exe、长度为57344字节的文件,删掉它; 7、在C:\、D:\、E:\三个逻辑盘的根目录下寻找Admin.DLL文件,如果在根目录下存在该文件,则删除它; 8、打开System.ini文件,在[load]中如果有一行“shell=explorer.exe load.exe -dontrunold”,则改为“shell=explorer.exe”; 9、如果是WinNT或者Win2000以及WinXP系统,则打开“控制面板|用户和密码”,将Administrator组中的guest帐号删除; 10、打开共享文件夹管理,将共享“C$”去除,该共享为本地C:\的完全共享; 11、搜索整个机器,查找文件名为Readme.eml的文件,如果文件内容中包含 “<HTML><HEAD></HEAD><BODY bgColor=3D#ffffff><br> <iframe src=3Dcid:EA4DMGBP9p height=3D0 width=3D0><br> </iframe></BODY></HTML> ” 以及 “Content-Type: audio/x-wav; name="readme.exe" Content-Transfer-Encoding: base64 ”,则删掉该文件。 |
| Copyright By「黑白网络工作室」2002 All Rights Reserve |