一、Nimda黑客蠕蟲病毒情況簡介
肆虐全球的CodeRed紅色代碼蠕蟲病毒的餘波尚未平息,又一種破壞力極強的新病毒已經開始象野火一樣開始在網際網路上蔓延開來,這種名為Nimda【W32.Nimda.A@mm或者W32.Nimda.A@mm(html)或者W32.Nimda.A@mm(dll)】的病毒於18日上午9:08被發現,半小時之內就傳遍了世界,其傳播範圍和破壞程度大大超過前一段時間極度肆虐的“紅色代碼”病毒。據Symantec報告,目前已有1000多例感染病例,10多個站點被感染。冠群金辰反病毒監測網也報告我國各地均有病毒的感染案例。由於此病毒能通過多種方法攻擊Win32系統,一種方法不行它會嘗試另外一種方法攻擊,直至成功,其攻擊對網路造成的通信阻塞是空前的。目前已有多家報告因受此病毒攻擊,造成網路癱瘓,其危害性不言而喻。
Nimda的蠕蟲病毒與以往的蠕蟲病毒有很大不同,它可通過三種方式傳播:Email附屬檔案、HTTP、硬碟共享,並且能感染所有32位Windows操作系統:Windows 98/Me,NT,2000, XP。
這種新病毒也是利用運行於視窗NT或視窗2000上的微軟網際網路伺服器軟體存在的安全隱患展開攻擊,這一點與“紅色代碼”病毒相同,但它同時也可以感染客戶端。即用戶在瀏覽染毒的網頁時就可能會受到感染。此病毒還通過Ooutlook,Outlook Express郵件客戶端傳播,會在用戶訪問帶毒的郵件時在用戶毫不知曉的情況下感染用戶的系統,這一點又與前一段時間流行的郵件蠕蟲病毒happytime很相似。此外,它對系統共享也作了手腳,為每個盤符創建網路共享。在Win9x/ME系統上,該共享被設定為完全共享,無需密碼。在WinNT/2K系統上,GUEST用戶被賦予管理員許可權,並得到共享許可權。在網路共享這一方面,又與funlove病毒相似。
二、手工清除病毒
Symantec和冠群金辰都提供了類似的手工清毒方案:(一)使用NAV2001或者NAV2002防毒
1、運行LiveUpdate,更新最新的病毒代碼;
2、啟動NAV,掃描系統中所有檔案。
3、如果NAV報告感染了W32.Nimda.A@mm或者W32.Nimda.A@mm(html),點擊修復Repair。
4、如果NAV報告感染了W32.Nimda.A@mm(dr)或者W32.Nimda.A@mm(dll),點擊刪除Delete。
5、如果需要,替換admin.dll和riched20.dll檔案。
6、重啟計算機。
7、重複步驟1-6,直到檢測不到W32.Nimda.A@mm為止。
8、如果System.ini檔案【load】中有“shell=explorer.exe load.exe-dontrunold”,刪除load.exe -dontrunold。
9、刪除不必要的共享。
10、刪除Administrator組中的guest帳號。
(二)冠群金辰方案
1、從微軟網站
www.microsoft.com/technet/security/bulletin/ms00-078.asp和
www.microsoft.com/technet/security/bulletin/MS01-020.asp下載相應
補丁並執行,然後關閉本機的所有共享。
2、按ctrl-alt-del,結束“xxx.tmp.exe”以及“Load.exe”的進程。
3、刪除temp目錄中的檔案。
4、用乾淨的Riched20.DLL(大約100k)檔案替換染毒的同名Riched20.DLL檔案(57344位元組)。
5、刪除系統目錄下的load.exe檔案(57344位元組),windows根目錄下的mmc.exe檔案,在C:\、D:\、E:\三個邏輯盤的根目錄下如果有Admin.DLL檔案,刪除這些檔案,查找檔案名稱為Readme.eml的檔案,刪除它。
6、System.ini檔案【load】中如果有一行“shell=explorer.exe load.exe-dontrunold”,改為“shell=explorer.exe”
7、刪除HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Network\LanMan\和HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\MapMail\的鍵值。
8、如果是WinNT或者Win2000,打開“控制臺|用戶和密碼”,將Administrator組中的guest帳號刪除。KILL的最新病毒特徵碼28.06已可查殺此病毒。
