Worm.Nimda.i
尼姆达变种I(Worm.Nimda.i)病毒档案
知识库编号: RSV0512262
内容分类: 蠕虫病毒
关键词: 尼姆达变种I;Worm.Nimda.i
适用操作系统:Windows 操作系统
适用操作系统补丁版本:全部补丁适用
尼姆达变种I(Worm.Nimda.i)病毒档案
病毒评估
警惕程度:★★★★
发作时间:随机
病毒类型:蠕虫病毒
传播方式:局域网/文件
感染对象:系统文件
依赖系统: WIN9X//NT/2000/XP
病毒介绍
尼姆达变种I(Worm.Nimda.i)病毒于2003年6月19日被瑞星全球反病毒监测网率先截获,该变种在原尼姆达病毒编写的基础上又进行了技术改进,具有更强的泄密性与网络传播的能力。
病毒特性
1、将被感染文件藏于自己体内。
该病毒的感染沿袭了原尼姆达病毒的感染方式,病毒运行时会查询注册表SOFTWAREMicrosoftWindowsCurrentVersionApp Paths的值,感染该项里的所有注册文件。感染时会将目标文件放入病毒的资源段内,即病毒不是将自身代码插入被感染的文件体内,而是直接将被感染文件“吞”到自己的肚子里。然后病毒会将自己的文件名改成被感染文件的文件名,进行李代桃僵。当不知情的用户想运行原来的文件时,病毒便会首先取得运行权,然后从自己体内将原来的文件释放出来并执行,使用户无法查觉到异常。
2、运行时藏身IE体内。
病毒会通过查询注册表信息得到IE(Explorer)的进程号,然后将病毒体注入到IE的进程空间内。如果成功病毒将在explorer进程空间中执行病毒的主体,这样病毒运行时就能躲过一些对内存比较了解的用户的查看。
3、以高优先级进行循环传染。
?病毒运行时会提升自己的线程优先级,并且每隔30秒就重复一次传染流程,将导致系统资源极大浪费。
4、快速的局域网传播。
病毒运行时会枚举局域网内的所有计算机,并对其共享目录进行搜索,当病毒发现有系统文件时就尝试感染该文件。如被搜索目录存在doc文件时,病毒便会将自己复制到该目录下,并将自身命名为:_setup.exe和riched20.dll。只要用户双击该doc文件,系统便会自动执行这两个病毒文件,造成病毒在被感染的计算机上被激活,导致病毒再一次重复感染动作。
5、严重的泄密特性
病毒运行时还将激活当前系统的guest账号并将其加入到管理员组中,使其具有管理员的权限,然后病毒就能通过该通道进行非法操作。病毒还会将当前的a至z盘变成共享,使任何外界的黑客程序都可以无障碍地访问计算机中的信息,并且病毒还会感染这些共享磁盘中的所有系统文件,使其全部带毒。
解决方案
瑞星杀毒软件15.40.11版本可以彻底查杀此病毒。