● 尼姆达传播的四种路径及F-Secure的查杀技巧 - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: netlife (灌醉自己), 信区: Microsoft
标  题: 尼姆达传播的四种路径及F-Secure的查杀技巧
发信站: 荔园晨风BBS站 (Sat Sep 22 06:53:44 2001), 转信

发信人: laofuzihere (老夫子◎偶土故偶在), 信区: Software
标  题: 尼姆达传播的四种路径及F-Secure的查杀技巧
发信站: 北大未名站 (2001年09月22日04:50:07 星期六), 站内信件

尼姆达传播的四种路径及F-Secure的查杀技巧
-------------------------------------------------------------
来源：http://www.f-secure.com/v-descs/nimda.shtml

发布时间：2001-09-21 20:29:12

    2001年9月18日首次出现于美国的尼姆达病毒，一夜之间从北美洲到亚洲，再
抵欧洲
，“足迹”迅速遍及全球，其传播速度之快不能不让人感到万分惊恐。

　　该病毒是一种极为复杂的邮件蠕虫病毒，通过一个名为README.EXE的附件进行
自我
传播，受其影响的系统包括Windows 95, Windows 98, Windows Me, Windows NT 4
及
Windows 2000。它真正的生命周期可分为四个部分，即通过如下四种路径进行传播
。1）
感染文件。2）邮件传播。3）网络蠕虫4）局域网传播。

　　文件感染

　　尼姆达在本地机器上寻找系统中的EXE文件，并将病毒代码置入原文件体内，
从而达
到对文件的感染。当用户执行像游戏一类的受感染的程序文件时，病毒就开始传播
。

　　邮件感染

　　尼姆达通过MAPI从邮件的客户端及本地的HTML文件中搜索邮件地址，然后将病
毒发
送给这些地址。这些邮件都包含一个名为README.EXE的附件，在某些系统中该附件
能够
自动执行，从而感染整个系统。

　　网络蠕虫

　　尼姆达还会通过扫描internet，来试图寻找www服务器，一旦找到WEB服务器，
该病
毒便会利用已知的安全漏洞来感染该服务器，若感染成功，就会任意修改该站点的
WEB页
，当在WEB上冲浪的用户浏览该站点时，不知不觉中便会被自动感染。

　　局域网传播

　　尼姆达还会搜索本地网络的共享文件，无论是文件服务器还是终端客户机，一
旦找
到，便会将一个名为RICHED20.DLL的隐藏文件加入到每一个包含DOC和EML文件的目
录中
。当别的用户打开这些目录下的DOC或EML文档时， word、写字板、outlook等应用
程序
将执行RICHED20.DLL文件，从而使机器被感染。同时该病毒还可以感染服务器上被
启动
的远程文件。

　　清除尼姆达病毒的方法：

　　F-Secure反病毒应急中心已有最新的查杀尼姆达的方法。但要完全消除该蠕虫
的感
染，还需进行额外的手动操作。为了消除此蠕虫的感染、恢复受染工作站的安全，
请按
照如下方法进行：

　　1. 取消所有的网络共享或暂时断开网络，因这该病毒可利用网络进行自我传
播。

　　2. 检查所有本地硬盘并用F-Secure的杀毒软件及最新工具清除受感染的EXE文
件。
推荐您用最新版的FSAV来杀毒。

　　3. 删除或更名（若实在不能删除）所有含有病毒程序（通常为57KB）的具感
染性或
锁定的文件。包括如下文件：
　　MMC.EXE (在 Windows 目录下)
　　LOAD.EXE (在Windows系统目录下)
　　ADMIN.DLL (在本地硬盘的根目录下)
　　RICHED20.DLL (存在于所有本地硬盘的所有文件夹)
　　所有被检测感染了尼姆达的后缀为EML及NWS的文件(通常为 79kB)都必须删除
。也可
能您已清除了所有的EML文件，但若您从Outlook Express中将邮件保存到文件中了
，你
只须删除FSAV查到的已中毒的文件即可。

　　若有文件被Windows锁住，要完全清除它，需退到纯DOS状态下或用一未染毒的
系统
盘引导您的系统，之后手动删除或更名该文件。假如您是NT或2000系统，被锁文件
必须
用一非可执行扩展名进行更名，确保下次重启时该文件不会被启用。

　　4. 重启系统，仍不要连上网，再次用FSAV检测所有本地硬盘上的文件，确保
系统中
没有受染文件了。

　　5. 您的Windows目录下查找SYSTEM.INI文件，用记事本或写字板打开它，将
"shell=explorer.exe load.exe -donotloadold"改为 "shell=explorer.exe"

　　6. 删除本地临时文件夹下的所有 .TMP文件，目录为 \Temp\ 或
\Windows\Temp\或
\documents and settings\username\local settings\temp

　　7. 将一未染毒的RICHED20.DLL文件拷贝至 \Windows\System\ 或
\WinNT\System32\ 文件夹下。许多程序都利用了该 DLL 文件，没有它无法运行。

　　8. 取消所有本地硬盘的共享，如有必要，请用正确的访问权限重新设置共享
，特别
检查一下\\本地主机\c盘下的共享权限。

　　9. 取消Guest帐号，用正确的访问权限重新设置并进行分组放置。（Guest帐
号不要
放在Administrators组中。）

　　10. 检查所有的HTML, .ASP, .HTM文件，以及文件名中有DEFAULT, INDEX,
MAIN与
README字符的文件，因为这些文件中可能有一小段与README.EML文件相同的
JavaScript
代码，将该代码删除或从备份文件中恢复染毒文件。JavaScript代码位于被感染文
件的
末尾。

　　11. 当您将尼姆达清除出WEB服务器后，红色代码II的后门感染应当也被清除
了。

　　12. 有关隐藏文件及某种扩展名的显示方式请改Windows Explorer的设置，因
为该
病毒可使Explorer隐藏某些文件及扩展名。

　　13. 在保证所有工作站都未染毒的情况下重新恢复网络连接，否则病毒会再次
感染
您那干净的电脑。

--
欢迎光临★Software★版!

※ 来源:·北大未名站 bbs.pku.edu.cn·[FROM: 202.113.30.241]

--
                       Wellcome to http://192.168.48.13
                        Wellcome to ftp://192.168.48.13
                      　　　　　提供光盘刻录服务
                -----------------------------------------------
                     数据光盘  音乐光盘  视频光盘  光盘复制
                  ☆欢迎光临http://192.168.48.13☆

※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.48.13]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店