Worm.Nimda
尼姆达(Worm.Nimda)病毒解决方案
知识库编号: RSV0512260
内容分类: 蠕虫病毒
关键词: Nimda
适用操作系统:Windows 操作系统
适用操作系统补丁版本:全部补丁适用
2001年9月18日出现一种破坏力较强的新型病毒尼姆达,它在互联网上开始蔓延。
尼姆达病毒是一个新型蠕虫病毒,由JavaScript脚本语言编写,通过email、共享网络资源、IIS服务器传播,同时它也是一个感染本地文件的新型病毒。病毒体长度57344字节,它修改在本地驱动器上的.htm, .html和 .asp文件。此病毒可以使IE和Outlook Express加载产生readme.eml文件。该文件将尼姆达蠕虫作为一个附件包含,因此,不需要拆开或运行这个附件病毒就被执行。由于用户收到带毒邮件时无法看到附件,这样给防范带来困难,病毒也更具隐蔽性。
病毒传播途径
尼姆达病毒的传播可以通过四种方式:
1)感染文件
2)乱发邮件
3)网络蠕虫
4)局域网传播
--感染文件
尼姆达病毒定位本机系统中的EXE文件,并将病毒代码置入原文件体内,从而达到对文件的感染,当用户执行这些文件的时候,病毒进行传播。
--乱发邮件
尼姆达病毒利用MAPI从邮件的客户端及HTML文件中搜索邮件地址,然后将病毒发送给这些地址,这些邮件包含一个名为README.EXE的附件,在某些系统(WindowsNT及Windows9x未安装相应补丁)中该README.EXE能够自动执行,从而感染整个系统。
--网络蠕虫
尼姆达病毒还会扫描internet,试图找到www主机,一旦找到这样的服务器,蠕虫便会利用已知的系统漏洞来感染该服务器,如果成功,蠕虫将会随机修改该站点的WEB页,当用户浏览该站点时,不知不觉中便被感染。
--局域网传播
尼姆达病毒还会搜索本地网络的文件共享,无论是文件服务器还是终端客户机,一旦找到,便安装一个隐藏文件,名为RICHED20.DLL到每一个包含DOC和EML文件的目录中,当用户通过word、写字板、outlook打开DOC或EML文档时,这些应用程序将执行RICHED20.DLL文件,从而使机器被感染。同时该病毒还可以感染远程的在服务器被启动的文件。
病毒的破坏
这个病毒降低系统资源,可能最后导致系统运行变慢最后宕机;它改变安全设置,在网络中共享被感染机器的硬盘,导致泄密;它不断的发送带毒邮件。
与红色代码与蓝色代码不同的是,该病毒不仅针对服务器,还对windows9x系统进行感染和破坏。
Worms.Nimda运行时,会搜索本地硬盘中的HTM和HTML文件和EXCHANGE邮箱,从中找到EMAIL地址,并向这些地址发邮件;搜索网络共享资源,并试图将带毒邮件放入别人的共享目录中;利用CodeBlue病毒的方法,攻击随机的IP地址,如果是IIS服务器,并未安装补丁,就会中毒。该蠕虫用它自己的SMTP服务器去发出邮件。同时用已经配置好的DNS获得一个mail服务器的地址。
Worms.Nimda运行时,会查找本地的HTM/ASP文件,将生成的带毒邮件放入这些文件中,并加入JavaScript脚本。这样,每当该网页被打开时,就会自动打开该染毒的readme.eml
Worms.Nimda感染本地PE文件时,有两种方法,一种是查找所有的WINDOWS应用程序(在HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Currentversion/AppPaths中),并试图感染之,但不感染WINZIP32.EXE;第二种方法搜索所有文件,并试图感染之。被感染的文件会增大约57KB。如果用户游览了一个已经被感染的web页时,就会被提示下载一个.eml(OutlookExpress)的电子邮件文件,该邮件的MIME头是一个非正常的MIME头,并且它包含一个附件,即此蠕虫。这种邮件也可能是别人通过网络共享存入你的计算机中,也可能是在别人的共享目录中,无论如何,只要你在WINDOWS的资源管理器中选中该文件,WINDOWS将自动预览该文件,由于OutlookExpress的一个漏洞,导致蠕虫自动运行,因此即使你不打开文件,也可能中毒,相关信息请参见微软安全网站:http://www.microsoft.com/technet/security/bulletin/MS01-020.asp,同时,该漏洞已有安全补丁:http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp。
当这个蠕虫执行的时候,它会在WINDOWS目录下生成MMC.EXE文件,并将其属性改为系统、隐藏;它会用自己覆盖SYSTEM目录下的RICHED20.DLL,这个文件是OFFICE套件运行的必备库,WINDOWS的写字板等也要用到这个动态库,任何要使用这个动态库的程序试图启动时,都会激活该它;它会将自己复制到SYSTEM目录下,并改名为LOAD.EXE,这样,在系统每次启动时,将自动运行它;这个蠕虫会在已经感染的计算机共享所有本地硬盘,同时,这个蠕虫会以超级管理员的权限建立一个guest的访问帐号,以允许别人进入本地的系统。这个蠕虫改变Explorer的设置这样就让它无法显示隐藏文件和已知文件的扩展名。
解决方案
方案一:瑞星杀毒软件12.43版本可以查杀此病毒,瑞星用户请升级到最新版本即可拦截此病毒。
方案二:手工解决方案
1.及时断开所有的网络连接;
2.热启动,结束此蠕虫病毒的进程;
3.在系统的temp文件目录下删除病毒文件;
4.使用干净无毒的 Riched20.DLL(约100k)文件替换染毒的同名的Riched20.DLL文件(57344字节)
5.将系统目录下的load.exe文件(57344字节)彻底删除以及windows根目录下的mmc.exe文件;要在各逻辑盘的根目录下查找Admin.DLL文件,如果有Admin.DLL文件的话,删除这些病毒文件,并要查找文件名为Readme.eml的文件,也要删除它;
6.如果用户使用的是Windows NT或Windows 2000的操作系统的计算机,那么要打开"控制面板",之后打开"用户和密码",将Administrator组中guest帐号删除。
相关链接
????因尼姆达病毒具有传播方式多,感染速度快等特点,所以对付此类病毒要做好充分的预防工作,及时打好预防此病毒的补丁程序,以防被此病毒再次感染。请参阅瑞星知识库文章编号RSV0512261,“查杀Nimda病毒后,彻底解决漏洞及手工修复的方案”。