Simone
Nimda病毒不但360问答发送染毒邮件,还会感染EXE文斗杂千刚由蒸松件。目前声称能处理该病毒的反病毒公司都采取删除染毒文件的方式杀毒,导致很多重要程序不能运行,甚至机器瘫痪。瑞星公司推出世界上唯一可安全清除染毒文件的却致影利刻免红有批无方法,不但可以清除染毒文件入那论菜布货布气脸脸,还可清除内存中的病毒,确保杀毒之后系统正常运行。
Worms.Nimda是一个新型蠕虫,也是一个病毒,它通过email、共享网络资源、IIS服务器传播。同时,它也是一个感染本地文件的新型病毒。
Worms.Nimda运行时搜索本地硬盘中的HTM、HTML文件和EXCHANGE邮箱,从中找到甚房加课源EMAIL地址,并向这些地址发送邮件;搜索网络共享资源,并试图将带毒悉锋邮件放入别人的共享目录;利用CodeBlue病毒的方法攻击随机IP地址,如果是未安装补丁的IIS服务器就会中毒。该蠕虫用它自己的SMTP服务器发送邮件,同时用已左专欢扩身步能刚步药经配置好的DNS获得一个mail服务器地址。
Worms.Nimda运行时查找本地的HTM/ASP文件,将生成的带毒邮件放入这些文件中,并加庆宴入JavaScript脚本:。这样,每当该网页被打开时,就会自动打开该染毒的rea矿院好dme.eml。
Worm价喜它超满卫银乎s.Nimda用两种方法感染攻尔百始势真胜独西本地PE文件:一种是查找所有的WINDOWS应用程序(在HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Current首选坐甚研version/AppPaths中),并试图感染,但不感染WINZIP32.EXE;第二种方法搜索所有文件,并试图感染,被感染的文件会增大约57KB。
如果用户浏览一个已经被感染的web页时,会被提示下载一个.药责念企钟eml(OutlookExpress)的电子邮件文件。该邮件得径动国的MIME头是一个非正常的MIME头,它包含一个附件--即此蠕虫。这种邮件也可能是别人通过网络共享存入你主病延烈每占各销老的计算机,也可能是在别人的共享目录中。无论如何,只誉陆银要你在WINDOWS的资源管理器中选中该文件严个星,WINDOWS将自动预览该文件。由于OutlookExpress的一个漏洞导致蠕虫自动运行,因此,即使你不打开文件也可能中毒。相关信息请参见微软安全网站:群http://w区西甲所得道顺ww.***.com/technet/security/bulletin/MS01-020.asp。同预时,该漏洞已有安全补丁:http://安将多计最号体话www.***.com/windows/ie/downloads/critical/q290108/default.asp。
当这个蠕虫执行的时候,它会在WINDOWS目录下生成MMC.EXE文件,并将其属性改为系统、隐藏;它会用自身覆盖SYSTEM目录下的RICHED20.DLL,这个文件是OFFICE套件运行的必备库,WINDOWS的写字板等也要用到这个动态库,任何要使用这个动态库的程序试图启动时都会激活该它;它会将自己复制到SYSTEM目录下,并改名为LOAD.EXE,同时将SYSTEM.INI文件中的SHELL项改为“explorer.exeload.exe–dontrunold”,这样,在系统每次启动时将自动运行它;这个蠕虫会在已经感染的计算机共享所有本地硬盘,同时,这个蠕虫会以超级管理员的权限建立一个guest的访问帐号,以允许别人进入本地的系统。这个蠕虫改变Explorer的设置这样就让它无法显示隐藏文件和已知文件的扩展名。
