“中国一号”网络蠕虫的清除方法 国家计算机病毒应急处理中心成员单位,北京江民新科技术有限公司病毒快速反应小组捕获了一种新的网络蠕虫病毒,根据病毒体内特有的标记“R.P.China Version 1.0,特将其命名为:I-WORM/CHINA-1#“中国一号”网络蠕虫。特此说明,病毒体内有此标记,不等于就是中国人编写的病毒,现也有称为Nimda“尼姆达”病毒的,但病毒体内无此标记。江民公司提醒广大用户,该病毒传染能力极强,请加强防范,立即升级反病毒软件。 该病毒特性如下:
病毒传染WINDOWS 9X/ME、WINDOWS NT、WINDOWS 2000。
当我们浏览含有I-WORM/CHINA-1#“中国一号”病毒邮件时,病毒利用病毒体内VBScript代码在本地的可执行性(通过Windows Script Host进行),对当前计算机进行感染和破坏。即,一旦我们将鼠标箭头移到带有I-WORM/CHINA-1#“中国一号”病毒体的邮件名上时,就能受到I-WORM/CHINA-1#“中国一号”网络蠕虫的感染,该病毒传染能力很强。该网络蠕虫利用的是OUTLOOK的漏洞。
在这以前,反病毒专家先前早已预料过、微软的信件浏览器非常脆弱,漏洞很严重,也很多,很快就会出现许多针对其弱点而具有高超传染能力的病毒。 I-WORM/CHINA-1#“中国一号”网络蠕虫的就是针对微软信件浏览器的弱点和WINDOWS NT/2000、IIS的漏洞而编写出的一种传播能力很强的病毒,这一病毒同等于“欢乐时光”和“蓝色代码”病毒的合力。
病毒在WINDOWS\SYSTEM目录内生成病毒文件RICHED20.DLL和LOAD.EXE,或README.EXE、MMC.EXE等,还在所有硬盘的根目录下生成ADMIN.DLL病毒文件,其字节数为:57344字节。
病毒传染.nws、.eml、.doc、.exe等文件,而这些文件大部分被破坏或替换。
病毒还找出Email地址发送病毒本身,即附件长度为79225字节,但打开看时,其长度为0。该文件实际上就是EMAIL病毒信件本身。
病毒还对SYSTEM.INI修改,在[boot]组下的shell=explorer.exe load.exe -dontrunold,这样在系统每次启动时该病毒就会传染,驻留内存。
病毒利用IIS5.0的漏洞,上传ADMIN.DLL在C:\、D:\...并修改用户的主页,在主页后加了一个链接README.EML。感染的电脑均不断生成一个个随机文件名的eml文件,病毒还在C:\INETPUB\Scripts目录中不断复制为TFTP00X.DAT的文件,其字节数为:57344字节。 该病毒利用许多方式来传播自己:首要的途径是通过EMAIL;还可以通过共享的磁盘分区来感染别的机器;试图将病毒文件本身拷贝到没有安装微软补丁的WEB服务器上;
同时还是一个可以感染本地磁盘上的文件以及本地的局域网络上的其他机器上的文件。
该蠕虫程序利用的是微软WEB的UNICODE 的遍历漏洞;该微软漏洞补丁程序的下载地址:
http://www.microsoft.com/technet/security/bulletin/ms00-078.asp.
而当一个用户收到感染该病毒的信件时,由于该病毒利用了OUTLOOK的MIME漏洞,使得当用户即使只是预览该信件时,隐藏在该信笺中的病毒就会自动被执行,该漏洞补丁程序的下载地址:
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp.
当用户浏览含有该病毒的网络时,会提示下载一个含有该病毒的文件,实际上是一个eml信件文件。
在受感染的机器上,该病毒还会自动将C盘共享,使得外部的用户可以访问系统目录,而同时该病毒还可以建立一个guest访问的用户而且该用户的权限是系统管理员级别的。
该病毒感染的文件是在系统的注册表键值下的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths的常用的EXE文件.
该病毒覆盖了WINDOWS的SYSTEM目录下的riched20.dll文件,使得该每次系统执行任何程序该病毒都会被执行。并将自身拷贝成load.exe存放在windows的system目录下。在该机器共享的 机器上的EXE文件会被感染,而EML文件和NWS文件会被该病毒本身代替。病毒修改系统注册表使得所有的本地硬盘为共享,相应的键值为:
HKLM\Software\Microsoft\Windows\CurrentVersion\Network\LanMan\[C$ -> Z$]
当然需要重新启动计算机,来使这些有效。只有C盘的共享不需要重新启动。
该病毒还可以修改IE的设置,使得系统、隐含属性的文件不显示。
该病毒在WINDOWS 的TEMP的临时目录下生成许多临时的文件。文件名称类似的一个是:mepA2C0.TMP.exe或者mepA2C2.TMP等,前者是该病毒执行文件本身,而后者是病毒的EMAIL形式本身,实际上这两者是同一一个文件:也就是病毒本身。所有的文件本身都是系统隐含文件属性。 病毒存在的现象:
(1)在C、D、E等逻辑盘符的根目录下有文件admin.dll,文件的长度是57344字节;
(2)EMAIL文件readme.eml文件的存在,该文件长度是79225字节,实际上是病毒文件的EMAIL表现形式;
(3)C盘在没有手动修改的情况下,变成了可以共享的驱动器。
(4)病毒文件中含有以下字符串:Concept Virus (CV) V.5, Copyright (C) 2001 R.P.China
(5)该病毒存在的文件名称可能是以下的几种:
load.exe;mmc.exe;riched20.dll;admin.dll;readme.exe;mep*.tmp.exe,
这些都是病毒程序本身,必须直接删除。对于系统正常的文件只能使用系统安装盘或者干净的文件来覆盖,在这里的情况是mmc.exe和riched20.dll;
(6)为了隐含文件,病毒修改了以下的系统注册表:
HKEY_CURRENT\USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt
HKEY_CURRENT\USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
HKEY_CURRENT\USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden
在WINDOWS 2000或者WINDOWS NT系统下,系统的以下注册表被删除:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Share\Security
(7)该病毒传播的EMAIL信件表示形式如下,如果收到类似信件请注意:
EMAIL的主题是变化的、不确定的;
信件的内容是空的,没有任何内容;
附件的文件是变化的,并且是使用了IE的HTML格式的图标.
该病毒的附件实际上是一个可执行的文件,但是该蠕虫设置成audio/x-wav的文件类型,因此当OUTLOOK
在收到该信件后,如果您没有打补丁的话,OUTLOOK会认为该附件是一个类似的声音文件而直接执行了。 病毒的清除:
1 使用干净DOS软盘启动机器。
2 执行KV3000.EXE或KVD3000, 查杀所有硬盘,查到病毒体时会先问你要删除吗?请按“Y”键删除病毒体。其它被感染的文件,如.EXE文件, KV3000.EXE或KVD3000会将病毒体从文件中清除,保留原文件, 而有的杀毒软件只会将其删除。
3 在SYSTEM.INI文件中将LOAD.EXE的文件改掉,如没有变,就不用改。正常的[boot]下的应该是shell=explorer.exe.必须修改该文件中的shell项目,否则清除病毒后,系统启动会提示有关load.exe的错误信息。
4 开启KVW3000实时监测病毒防火墙。
5 为了预防该病毒在浏览该带毒信笺可以自动执行的特点,必须下载微软的补丁程序。
地址是:
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp.
这样可以预防此类病毒的破坏。
6、WINDOWS 2000如果不需要可执行的CGI,可以删除可执行虚拟目录,例如/scripts等等。
7、如果确实需要可执行的虚拟目录,建议可执行虚拟目录单独在一个分区。
8、对WINDOWS NT/2000系统,微软已经发布了一个安全补丁,可以从下列地址下载:
http://www.microsoft.com/technet/security/bulletin/ms00-078.asp.
9、病毒被清除后, 在windows的system目录下的文件riched20.dll将被删除,请从WINDOWS的安装盘上或再无毒机中拷贝一份干净的无病毒的该文件,否则的话,写字板和OFFICE, WORD等程序将不能正常运行。在WINDOWS98系统下的该文件大小是:431376字节。 WINDOWS NT/2000系统的NTFS硬盘分区患有此毒时,处理比较烦琐。因用DOS软盘引导后不认硬盘分区,所以无法杀毒。在患毒的WINDOWS NT/2000系统下又杀不干净病毒。怎么办?不管是服务器还是单机的硬盘染此毒了,要想杀干净病毒,可按如下方法杀毒:
1 找一无毒的并装有WINDOWS NT/2000系统的机器,将KVW3000安装到硬盘中。
2 将患毒的硬盘挂接在无毒的机器上做为副盘。
3 用无毒的主盘引导机器后,调用KVW3000或KVD3000查杀副盘中的病毒。
杀毒方法如上所述。
病毒传染WINDOWS 9X/ME、WINDOWS NT、WINDOWS 2000。
当我们浏览含有I-WORM/CHINA-1#“中国一号”病毒邮件时,病毒利用病毒体内VBScript代码在本地的可执行性(通过Windows Script Host进行),对当前计算机进行感染和破坏。即,一旦我们将鼠标箭头移到带有I-WORM/CHINA-1#“中国一号”病毒体的邮件名上时,就能受到I-WORM/CHINA-1#“中国一号”网络蠕虫的感染,该病毒传染能力很强。该网络蠕虫利用的是OUTLOOK的漏洞。
在这以前,反病毒专家先前早已预料过、微软的信件浏览器非常脆弱,漏洞很严重,也很多,很快就会出现许多针对其弱点而具有高超传染能力的病毒。 I-WORM/CHINA-1#“中国一号”网络蠕虫的就是针对微软信件浏览器的弱点和WINDOWS NT/2000、IIS的漏洞而编写出的一种传播能力很强的病毒,这一病毒同等于“欢乐时光”和“蓝色代码”病毒的合力。
病毒在WINDOWS\SYSTEM目录内生成病毒文件RICHED20.DLL和LOAD.EXE,或README.EXE、MMC.EXE等,还在所有硬盘的根目录下生成ADMIN.DLL病毒文件,其字节数为:57344字节。
病毒传染.nws、.eml、.doc、.exe等文件,而这些文件大部分被破坏或替换。
病毒还找出Email地址发送病毒本身,即附件长度为79225字节,但打开看时,其长度为0。该文件实际上就是EMAIL病毒信件本身。
病毒还对SYSTEM.INI修改,在[boot]组下的shell=explorer.exe load.exe -dontrunold,这样在系统每次启动时该病毒就会传染,驻留内存。
病毒利用IIS5.0的漏洞,上传ADMIN.DLL在C:\、D:\...并修改用户的主页,在主页后加了一个链接README.EML。感染的电脑均不断生成一个个随机文件名的eml文件,病毒还在C:\INETPUB\Scripts目录中不断复制为TFTP00X.DAT的文件,其字节数为:57344字节。 该病毒利用许多方式来传播自己:首要的途径是通过EMAIL;还可以通过共享的磁盘分区来感染别的机器;试图将病毒文件本身拷贝到没有安装微软补丁的WEB服务器上;
同时还是一个可以感染本地磁盘上的文件以及本地的局域网络上的其他机器上的文件。
该蠕虫程序利用的是微软WEB的UNICODE 的遍历漏洞;该微软漏洞补丁程序的下载地址:
http://www.microsoft.com/technet/security/bulletin/ms00-078.asp.
而当一个用户收到感染该病毒的信件时,由于该病毒利用了OUTLOOK的MIME漏洞,使得当用户即使只是预览该信件时,隐藏在该信笺中的病毒就会自动被执行,该漏洞补丁程序的下载地址:
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp.
当用户浏览含有该病毒的网络时,会提示下载一个含有该病毒的文件,实际上是一个eml信件文件。
在受感染的机器上,该病毒还会自动将C盘共享,使得外部的用户可以访问系统目录,而同时该病毒还可以建立一个guest访问的用户而且该用户的权限是系统管理员级别的。
该病毒感染的文件是在系统的注册表键值下的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths的常用的EXE文件.
该病毒覆盖了WINDOWS的SYSTEM目录下的riched20.dll文件,使得该每次系统执行任何程序该病毒都会被执行。并将自身拷贝成load.exe存放在windows的system目录下。在该机器共享的 机器上的EXE文件会被感染,而EML文件和NWS文件会被该病毒本身代替。病毒修改系统注册表使得所有的本地硬盘为共享,相应的键值为:
HKLM\Software\Microsoft\Windows\CurrentVersion\Network\LanMan\[C$ -> Z$]
当然需要重新启动计算机,来使这些有效。只有C盘的共享不需要重新启动。
该病毒还可以修改IE的设置,使得系统、隐含属性的文件不显示。
该病毒在WINDOWS 的TEMP的临时目录下生成许多临时的文件。文件名称类似的一个是:mepA2C0.TMP.exe或者mepA2C2.TMP等,前者是该病毒执行文件本身,而后者是病毒的EMAIL形式本身,实际上这两者是同一一个文件:也就是病毒本身。所有的文件本身都是系统隐含文件属性。 病毒存在的现象:
(1)在C、D、E等逻辑盘符的根目录下有文件admin.dll,文件的长度是57344字节;
(2)EMAIL文件readme.eml文件的存在,该文件长度是79225字节,实际上是病毒文件的EMAIL表现形式;
(3)C盘在没有手动修改的情况下,变成了可以共享的驱动器。
(4)病毒文件中含有以下字符串:Concept Virus (CV) V.5, Copyright (C) 2001 R.P.China
(5)该病毒存在的文件名称可能是以下的几种:
load.exe;mmc.exe;riched20.dll;admin.dll;readme.exe;mep*.tmp.exe,
这些都是病毒程序本身,必须直接删除。对于系统正常的文件只能使用系统安装盘或者干净的文件来覆盖,在这里的情况是mmc.exe和riched20.dll;
(6)为了隐含文件,病毒修改了以下的系统注册表:
HKEY_CURRENT\USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt
HKEY_CURRENT\USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
HKEY_CURRENT\USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden
在WINDOWS 2000或者WINDOWS NT系统下,系统的以下注册表被删除:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Share\Security
(7)该病毒传播的EMAIL信件表示形式如下,如果收到类似信件请注意:
EMAIL的主题是变化的、不确定的;
信件的内容是空的,没有任何内容;
附件的文件是变化的,并且是使用了IE的HTML格式的图标.
该病毒的附件实际上是一个可执行的文件,但是该蠕虫设置成audio/x-wav的文件类型,因此当OUTLOOK
在收到该信件后,如果您没有打补丁的话,OUTLOOK会认为该附件是一个类似的声音文件而直接执行了。 病毒的清除:
1 使用干净DOS软盘启动机器。
2 执行KV3000.EXE或KVD3000, 查杀所有硬盘,查到病毒体时会先问你要删除吗?请按“Y”键删除病毒体。其它被感染的文件,如.EXE文件, KV3000.EXE或KVD3000会将病毒体从文件中清除,保留原文件, 而有的杀毒软件只会将其删除。
3 在SYSTEM.INI文件中将LOAD.EXE的文件改掉,如没有变,就不用改。正常的[boot]下的应该是shell=explorer.exe.必须修改该文件中的shell项目,否则清除病毒后,系统启动会提示有关load.exe的错误信息。
4 开启KVW3000实时监测病毒防火墙。
5 为了预防该病毒在浏览该带毒信笺可以自动执行的特点,必须下载微软的补丁程序。
地址是:
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp.
这样可以预防此类病毒的破坏。
6、WINDOWS 2000如果不需要可执行的CGI,可以删除可执行虚拟目录,例如/scripts等等。
7、如果确实需要可执行的虚拟目录,建议可执行虚拟目录单独在一个分区。
8、对WINDOWS NT/2000系统,微软已经发布了一个安全补丁,可以从下列地址下载:
http://www.microsoft.com/technet/security/bulletin/ms00-078.asp.
9、病毒被清除后, 在windows的system目录下的文件riched20.dll将被删除,请从WINDOWS的安装盘上或再无毒机中拷贝一份干净的无病毒的该文件,否则的话,写字板和OFFICE, WORD等程序将不能正常运行。在WINDOWS98系统下的该文件大小是:431376字节。 WINDOWS NT/2000系统的NTFS硬盘分区患有此毒时,处理比较烦琐。因用DOS软盘引导后不认硬盘分区,所以无法杀毒。在患毒的WINDOWS NT/2000系统下又杀不干净病毒。怎么办?不管是服务器还是单机的硬盘染此毒了,要想杀干净病毒,可按如下方法杀毒:
1 找一无毒的并装有WINDOWS NT/2000系统的机器,将KVW3000安装到硬盘中。
2 将患毒的硬盘挂接在无毒的机器上做为副盘。
3 用无毒的主盘引导机器后,调用KVW3000或KVD3000查杀副盘中的病毒。
杀毒方法如上所述。
解决方案 »
- delphi6 ado 在执行insert 报错
- 新手请教关于SQL语句的执行问题!!!
- 如何解决非模态窗口的显示问题?
- 求Tcp长连接server端程序的方案。(分不够加分)
- 我在使用ADO建立ConnectionString时,提示没有注册类别,这是怎么回事?
- 请教memo+sql+treeview的问题
- 关于com+结合oracle的问题,高手指教。。。。。
- 各位老大 你们是如何解决学习语言方面的问题的,如何让自已的知识面丰富的?
- 小问题,为什么在treeview的图标选中第二、三层时,图标为第一层的
- 有谁用过THREADBLOCKING型的SERVERSOCKET?
- 存储过程的param属性里总有一个 @return_value ,这是什么,有什么用?
- 用TPrinter类编写程序控制点阵式打印机的问题。
病毒名称:PE_NIMDA.A 类型: 文件性 破坏性:有 危险性:高 别名:NIMDA.A, W32/Nimda.A@mm, CV-5, Minda, Concept Virus, Code Rainbow
病毒描述: 这个蠕虫(Worm)使用三种不同的方式扩散传播, 分别是利用e-mail, 资源共享, 及透过IIS 并且激活"IIS Web Directory Traversal exploit" 服务的主机.当蠕虫(Worm)利用e-mail传播时,信件会夹带readme.exe或 readme.wav 或 readme.com等档案,执行档案时.会在C:\Windows\Temp 内建立meXXXXX.tmp.exe临时文件.这个档案是e-mail格式,并且包含蠕虫(Worm)所夹带的病毒文件。邮件主题:不固定附加档案:readme.exe 或 readme.wav 或 readme.com传播方式:(Outlook及Outlook Express)破坏行为:.寻找并修改htm, .html 及.asp等档案修改为病毒格式档案.使得其它人上网时感染病毒 解决方案:自动清除方法:1.请下载fix_nimda1.22 病毒修复工具,使用方法如下:
(1) 下载FIX_NIMDA1.22工具,然后解压缩到同一目录下。
(2) 关闭所有已经安装的防毒软件,使其退出实时扫描状态,防止此工具在扫描时与其他防毒软件产生冲突。
(3) 拔掉网线,断开系统与网络的连接,防止系统在扫描时受到感染。
(4) 在命令行方式(MS-DOS Prompt)下,进入工具所在的目录。
(5) 运行FIX_NIMDA.exe文件。
(6) 重新激活计算机.使用防毒软件扫瞄所有文件.
(7) 若您发现 RICHED20.DLL 及LOAD.EXE 文件无法清除,请由平时备份还原
(8) 请您将防毒软件设定为扫瞄所有文件,您可参考http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/topics/Nimda.asp%20说明设定
(9)请执行预防娜妲病毒感染步骤2.fix_nimda1.zip文件包含4个文件,具体如下:
FIX_NIMDA.EXE - 对于娜妲病毒(PE_Nimda.a)的修复工具。
SLIDE.EXE - 用于清除 HTM/HTML/ASP 文件的工具。
(您无需执行此文件, FIX_NIMDA.EXE 会自动运行此它。)
SLIDE.DAT - 供SLIDE.EXE使用的数据文件。
README_NIMDA.TXT - 帮助文件当 FIX_NIMDA.EXE 程序执行时,它将进行下列操作:
* 清除计算机内存中的娜妲病毒(PE_Nimda.a)。
* 清除娜妲病毒(PE_Nimda.a)在SYSTEM.INI文件中的跟踪记录。
* 扫描本地硬盘中的所有感染文件。
* 清除感染文件及删除不能清除的感染文件。
* 扫描及清除受到娜妲病毒(PE_Nimda.a)感染的 HTM/HTML/ASP 文件。系统需求:此工具适用于 Windows NT/2000 和 Windows 9X/ME 的操作系统。
在 Windows NT/2000 的环境下,它需要下列动态链接文件:PSAPI.DLL 请先确认此文件的存在。注:在清除系统完毕后,您必须安装最新的防毒软件,保护您的系统不再受到病毒感染。针对Windows 9X/NT/ME/2000系统的手动清除方法:1.请先关闭资源共享功能
2.选择“开始-》运行”,输入SYSTEM.INI,寻找"Shell ="项,修改如下:
将Shell = explorer.exe load.exe –dontrunold 改为 Shell = explorer.exe
3.保存,关闭SYSTEM.INI文件
4.选择“开始-》设置-》文件夹选项”
5.在弹出的界面中,选择“查看”选项
6.将文件和文件夹-》隐藏文件的属性设为“显示所有文件”
7.选择“开始-》运行”,输入WININIT.INI,删除所有内容,保存并关闭该文件
8.执行自动清除方法6-9步预防娜妲病毒感染步骤:
1. 趋势科技产品用户请立即更新扫瞄引擎至5.20以上和病毒码至942(含)以上,以侦测及清除此病毒。
2. 如果您使用微软IE 浏览器,请连接下列微软公司网站更新 IE 的修正程序http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-020.asp
3. 由于病毒会搜寻网络上的磁盘驱动器,企业若安装了IIS主机,请至微软网站下载最新的Service Pack及修正程序!!
您可以参考下列URL http://www.microsoft.com/taiwan/support/content/6496.htm
来取得并安装最新的Service Pack及修正程序
4. 若你连接至中毒的网页服务器,会自动下载病毒档案,请将防毒软件开启至常驻状态。
5. 如果您有安装趋势科技eManager电子邮件管理系统,可以设定收到readme.exe, readme.wav及readme.com三个附件移?br> 6. 尽量避免不必要的网络资源共享,或将网络资源共享设定为「只读」。
7. 计算机族如果收到Readme.exe(读我)邮件的附件或通过网上邻居来感染计算机的*.eml(随机数产生)信件,请直接删除,勿开启以免中毒。
微软关于“Nimda”蠕虫病毒的信息
--------------------------------------------------------------------------------
摘要:一种正式名称为“W32/Nimda@MM”的新型蠕虫病毒正在Internet上四处传播,许多用户已经受到了该病毒的感染。Microsoft正在会同防病毒公司和其它安全专家对这种病毒进行分析研究。如果您还没有安装相应的软件升级或补丁,您的计算机可能会感染上这种病毒。 您应该采取的操作 最终用户 为防止计算机通过e-mail渠道被感染,请用以下产品之一升级您的Internet Explorer: Microsoft 安全公告(Security Bulletin) MS01-020提供的补丁程序 Internet Explorer 5.01 Service Pack 2. Internet Explorer 5.5 Service Pack 2. Internet Explorer 6 系统管理员 防止系统感染上红色代码II(Code Red II)蠕虫病毒,并且使用我们提供的工具修复已被该病毒感染的系统。(Code Red II病毒会在系统中留下“后门”,而Nimda病毒会利用这个“后门”)
通过应用或安装任何一种以下产品,消除“Web Server Folder Traversal”漏洞:
应用Microsoft Security Bulletin MS00-057中提供的补丁程序
应用Microsoft Security Bulletin MS00-078中提供的补丁程序
应用Microsoft Security Bulletin MS00-086中提供的补丁程序
应用Microsoft Security Bulletin MS00-026中提供的补丁程序
应用Microsoft Security Bulletin MS01-044中提供的补丁程序
安装Windows 2000 Service Pack 2
安装Windows NT 4.0 Security Roll-up Package
以默认模式安装IIS Lockdown Tool
以默认的规则集安装URLScan工具
通过关闭所有计算机的权限防止病毒通过文件共享进行传播
附加信息 病毒的正式名称为W32/Nimda@MM,但是该病毒通常还被叫做“Nimda”蠕虫病毒。它会试图通过以下三种不同的方式进行传播: Email:受感染的计算机会尝试通过e-mail发送病毒副本来传染其它用户。 Web服务器:受感染的计算机会尝试通过寻找已经受到破坏的Web服务器或利用已知的IIS服务器漏洞来传染其它的Web服务器。 文件共享:受到感染的计算机会对系统进行搜索,试图找到一个被配置为允许任何人向其中添加文件的共享文件夹。如果找到这样的一个文件夹,它将向其中写入受感染的文件。 Email 蠕虫病毒会利用在Microsoft Security Bulletin MS01-020中讨论过的安全漏洞将自身藏在邮件中,并向其他用户发送一个病毒副本来进行传播。正如在公告中所描述的那样,该漏洞存在于Internet Explorer之中,但是可以通过e-mail来利用。只需简单地打开邮件就会使机器感染上病毒 — 并不需要您打开邮件附件。 防病毒厂商正在开发能检测和清除病毒邮件的升级扫描工具。但是即使使用了这些工具,您也必须应用IE的补丁或安装IE的升级版本来消除这个漏洞。那些已经安装了上面所列出的IE升级程序的用户不会因为邮件而受到病毒的感染。 Web 服务器 该病毒攻击IIS 4.0和5.0Web服务器,它主要通过两种手段来进行攻击:第一,它检查计算机是否已经被Code Red II病毒所破坏,因为Code Red II病毒会创建一个“后门”,任何恶意用户都可以利用这个“后门”获得对系统的控制权。如果Nimda 病毒发现了这样的机器,它会简单地使用Code Red II病毒留下的后门来感染机器。第二,病毒会试图利用“Web Server Folder Traversal”漏洞来感染机器。如果它成功地找到了这个漏洞,病毒会使用它来感染系统。 可以使用工具来删除Code Red II蠕虫病毒留下的后门。但是,最好的做法是按照上面步骤1中的指示,一并防止受到Code Red II病毒的感染。 文件共享 病毒传播的最后一种手段是通过文件共享来进行传播。Windows系统可以被配置成允许其他用户读写系统中的文件。允许所有人都可以访问您的文件会导致很糟糕的安全性,而且默认情况下,Windows系统仅仅允许授权用户访问系统中的文件。然而,如果病毒发现系统被配置为其他用户可以在系统中创建文件,它会在其中添加文件来传播病毒。您可以使用Microsoft个人安全顾问(Personal Security Advisor)来检查您的系统是否存在错误的共享配置 更多资源 Microsoft将继续对病毒进行研究,并将根据研究结果提供升级信息。与此同时,您可以从以下资源获取相应的附加信息: CERT Coordination Center
Symantec Security Response
Network Associates
现在竟然又有了3封~~~其中一封竟然是“<[email protected]> 你好,我是李文国◎ ”给我的???
不会我也中了吧?
需要 在 NT4.0 上的殺毒軟件,
不知哪裡下載
急需 NT4.0 下
急需 NT4.0 下
100分
謝謝
但是杀毒的时候要注意:
1.首先要断开所有的网络连接,拔掉网线
2.取消系统中所有的共享目录
3.杀毒完毕之后重启计算机再来一次如果安装了iis的,还要打补丁,补丁的连接地址在前面我的回复里有。具体的操作在我前面的回复里有,如果不行,请联络:[email protected]
我已经杀了15台服务器和1000台微机了,够苦的了附:尼姆达变种的防御方案
已经受到尼姆达及其变种病毒感染的用户请尽快下载FIX_NIMDA1.25工具。
(http://www.trendmicro.com.cn/corporate/downloads/documentation/FIX_NIMDA%20(v1.25).zip)
1.说明:
此工具用来清除受到尼姆达及其变种病毒(PE_Nimda.a,PE_Nimda.b PE_NIMDA.e)感染的计算机。此工具包含以下文件:
FIX_NIMDA.EXE :对于尼姆达及其变种病毒(PE_Nimda.a,PE_Nimda.b PE_NIMDA.e)的修复工具。
README_NIMDA.TXT :说明文档。当 FIX_NIMDA.EXE 程序执行时,它将进行下列操作:
清除计算机内存中的尼姆达及其变种病毒。
清除尼姆达及其变种病毒在SYSTEM.INI文件中的跟踪记录。
扫描本地硬盘中的所有感染文件。
清除感染文件及删除不能清除的感染文件。
扫描及清除受到尼姆达病毒(PE_Nimda.a,b,e)感染的 HTM/HTML/ASP 文件。
关闭 guest 账号,并将其从管理员组中移除。2.系统需求:此工具适用于 Windows NT/2000 和 Windows 9X/ME 的操作系统。
在 Windows NT/2000 的环境下,它需要下列动态链接文件:
PSAPI.DLL
请先确认此文件的存在。3.使用方法:
注意: PE_NIMDA.B 病毒具有覆写可执行文件的能力。要恢复系统的唯一方法只能是删除这些被感染的可执行文件。如果遭受感染的文件是供系统或其它应用程序调用,则在删除这些文件后会导致系统或应用程序故障。
因此,建议用户在使用本工具时,请慎用开关参数 “/c",而使用默认的运行方式,在发现系统文件受到感染后,选择清除或忽略的方式,以便从干净的机器上复制同名文件获得。
1. 在使用本工具前,安装 IIS 的用户请先安装相应的微软补丁程序。补丁程序的链接及其说明请查看文章末尾。2. 退出所有运行的程序(包括防毒软件),使其退出实时扫描状态,防止此工具在扫描时与其他防毒软件产生冲突。3.拔掉网线,断开系统与网络的连接,防止系统在扫描时受到感染。
还建议您在命令行方式下运行 "Net Use" 命令,记下共享的目录,因为本工具有一选项用来取消这些网络共享。.4. 将工具解压缩到临时目录下。.5. 双击 FIX_NIMDA.COM 运行,或在命令行方式下进入工具所在目录执行:FIX_NIMDA.COM [pathname /C /Q /F=<pathname>
/UNSHARE_ALL /UNSHARE_ALL]注意:所有的参数都是可选的。在资源管理器中直接运行等同于不使用参数的命令行运行方式。6. 您可以检查本工具的日志文件,默认路径在 c:\Report.log.7. 运行防毒软件进行手动扫描。8. 用磁盘或磁带备份共享目录中的重要文件。
参数说明:<drive:path> - 指定需要扫描的目录。默认情况下,扫描所有的磁盘(从C至Z盘),包括相应的子目录。/C - 无须提示,直接清除/删除受感染的文件。默认情况下,系统会提示用户选择清除/删除或忽略。
/GUEST - 取消 "Guest" 账号,并从管理员组中清除。
/UNSHARE_ALL - 取消所有共享目录。
/UNSHARE_ROOT - 取消所有根目录共享。
/Q - 完全模式,无须用户干涉。
如果不用选项/C,该工具只会扫描系统,并显示日志信息,但不会清除受感染文件。
/F=<pathname> - 将日志文件存放在指定目录中,默认路径为:C:\REPORT.LOG注:在清除系统完毕后,您必须安装最新的防毒软件,保护您的系统不再受到病毒感染。 微软补丁及更新下载程序:请用户至微软网站:
http://www.microsoft.com/technet/security/topics/moretopics.asp
下载相应的补丁程序。
最后最好升级IE5到补丁2,不过必须要在线升级或直接上IE6
证明你的系统有漏洞,请尽快升级ie吧,另外大家对莫名其妙的信件最好不要打开。
实时监测的,D版的norton企业版可以发现并隔离,但是也不能实时杀死,病毒库最好选9.24之后的版本
http://www.iduba.com 金山公司的杀毒网站.