涉及程序:
Nimda
描述:
尼姆达五个变种之比较及尼姆达完全解决方案
详细:
2001年9月18日出现的尼姆达病毒病可说是本年度最为凶猛的恶意蠕虫病毒,岂今为止已给全球带来不可估量的经济损失。该病毒不仅传播速度快、危害性强,而且自我繁殖能力更是位居各大病毒之首,自它惊现江湖以来,已有五种新变种相继粉墨登场,作恶不可谓不大。现就对五个变种作如下比较:
Nimda.a
这是9月18日出现的最初版本,它主要通过以下几种不同的方式入侵用户的电脑:
1. 文件感染 :尼姆达在本地机器上寻找系统中的EXE文件,并将病毒代码置入原文件体内,从而达到对文件的感染。当用户执行像游戏一类的受感染的程序文件时,病毒就开始传播。
2. 邮件感染 :尼姆达通过MAPI从邮件的客户端及本地的HTML文件中搜索邮件地址,然后将病毒发送给这些地址。这些邮件都包含一个名为README.EXE的附件,在某些系统中该附件能够自动执行,从而感染整个系统。
3. 网络蠕虫 :它还会通过扫描internet,来试图寻找www服务器,一旦找到WEB服务器,该病毒便会利用已知的安全漏洞来感染该服务器,若感染成功,就会任意修改该站点的WEB页,当在WEB上冲浪的用户浏览该站点时,不知不觉中便会被自动感染。
网管论坛bbs_bitsCN_com
4. 局域网传播 :它还会搜索本地网络的共享文件,无论是文件服务器还是终端客户机,一旦找到,便会将一个名为RIHED20.DLL的隐藏文件加入到每一个包含DOC和EML文件的目录中。当别的用户打开这些目录下的DOC或EML文档时, word、写字板、outlook等应用程序将执行RICHED20.DLL文件,从而使机器被感染。同时该病毒还可以感染服务器上被启动的远程文件。
除了入侵电脑外,它还会通过利用IIS的WEB服务器文件夹遍历漏洞攻击运行微软IIS软件的服务器。
Nimda.b
在a的基础上作了轻微的改变,利用PCShrink进行了压缩。文件名README.EXE及 README.EML改成了PUTA!!.SCR及PUTA!!.EML。
Nimda.c
与最初版a基本相似,但通过压缩软件UPX进行了压缩。
Nimda.d
在a的基础上也作了轻微的改变,但利用的是PECompact进行压缩。唯一明显不同的是源文件中出现的“版权”文本变为“大屠杀”病毒(HoloCaust Virus.!); 作者为西班牙的Stephan Fernandez (V.5.2 by Stephan Fernandez.Spain)。
Nimda.e
该变种是于10月30日凌晨发现。根据病毒专家对此变种的技术分析得知,其危害性与最初版的尼姆达有过之而无不及,而且将会是近期在互联网上迅速传播的大热恶意蠕虫。它与Nimda.a的不同之处在于:
网管网www_bitscn_com 1、附件名字从Readme.exe改为Sample.exe
2、感染IIS系统时生成的文件从Admin.dll改为Httpodbc.dll
3、在NT/2000及相关系统,病毒拷贝自己到windows的system目录下,不再叫mmc.exe,而用Csrss.exe的名字
解决方案:
尼姆达病毒最新解决方案:
最终用户
为防止计算机通过e-mail渠道被感染,请用以下产品之一升级您的Internet Explorer:
Microsoft 安全公告(Security Bulletin) MS01-020提供的补丁程序
Internet Explorer 5.01 Service Pack 2
Internet Explorer 5.5 Service Pack 2
Internet Explorer 6
系统管理员
防止系统感染上红色代码II(Code Red II)蠕虫病毒,并且使用工具修复已被该病毒感染的系统。(Code Red II病毒会在系统中留下“后门”,而Nimda病毒会利用这个“后门”)
通过应用或安装任何一种以下产品,消除“Web Server Folder Traversal”漏洞:
应用Microsoft Security Bulletin MS00-057中提供的补丁程序
应用Microsoft Security Bulletin MS00-078中提供的补丁程序
应用Microsoft Security Bulletin MS00-086中提供的补丁程序
应用Microsoft Security Bulletin MS00-026中提供的补丁程序
网管网www.bitscn.com
应用Microsoft Security Bulletin MS01-044中提供的补丁程序
安装Windows 2000 Service Pack 2
安装Windows NT 4.0 Security Roll-up Package
以默认模式安装IIS Lockdown Tool
以默认的规则集安装URLScan工具
通过关闭所有计算机的权限防止病毒通过文件共享进行传播
附加信息
病毒的正式名称为W32/Nimda@MM,但是该病毒通常还被叫做“Nimda”蠕虫病毒。它会试图通过以下三种不同的方式进行传播:
Email:受感染的计算机会尝试通过e-mail发送病毒副本来传染其它用户。
Web服务器:受感染的计算机会尝试通过寻找已经受到破坏的Web服务器或利用已知的IIS服务器漏洞来传染其它的Web服务器。
文件共享:受到感染的计算机会对系统进行搜索,试图找到一个被配置为允许任何人向其中添加文件的共享文件夹。如果找到这样的一个文件夹,它将向其中写入受感染的文件。
Email
蠕虫病毒会利用在Microsoft Security Bulletin MS01-020中讨论过的安全漏洞将自身藏在邮件中,并向其他用户发送一个病毒副本来进行传播。正如在公告中所描述的那样,该漏洞存在于Internet Explorer之中,但是可以通过e-mail来利用。只需简单地打开邮件就会使机器感染上病毒 — 并不需要您打开邮件附件。
中国网管联盟bitsCN.com
防病毒厂商正在开发能检测和清除病毒邮件的升级扫描工具。但是即使使用了这些工具,您也必须应用IE的补丁或安装IE的升级版本来消除这个漏洞。那些已经安装了上面所列出的IE升级程序的用户不会因为邮件而受到病毒的感染。
Web 服务器
该病毒攻击IIS 4.0和5.0Web服务器,它主要通过两种手段来进行攻击:第一,它检查计算机是否已经被Code Red II病毒所破坏,因为Code Red II病毒会创建一个“后门”,任何恶意用户都可以利用这个“后门”获得对系统的控制权。如果Nimda 病毒发现了这样的机器,它会简单地使用Code Red II病毒留下的后门来感染机器。第二,病毒会试图利用“Web Server Folder Traversal”漏洞来感染机器。如果它成功地找到了这个漏洞,病毒会使用它来感染系统。
可以使用工具来删除Code Red II蠕虫病毒留下的后门。但是,最好的做法是按照上面步骤1中的指示,一并防止受到Code Red II病毒的感染。
文件共享
病毒传播的最后一种手段是通过文件共享来进行传播。Windows系统可以被配置成允许其他用户读写系统中的文件。允许所有人都可以访问您的文件会导致很糟糕的安全性,而且默认情况下,Windows系统仅仅允许授权用户访问系统中的文件。然而,如果病毒发现系统被配置为其他用户可以在系统中创建文件,它会在其中添加文件来传播病毒。您可以使用Microsoft个人安全顾问(Personal Security Advisor)来检查您的系统是否存在错误的共享配置
网管网www_bitscn_com
更多资源
Microsoft将继续对病毒进行研究,并将根据研究结果提供升级信息。与此同时,您可以从以下资源获取相应的附加信息:
1.CERT Coordination Center
2.Network Associates
评论加载中…
