标题谨防“尼姆达”蠕虫病毒

　　计算机病毒防治产品检验中心暨国家计算机病毒应急处理中心2001年9月19日晨接到用户报告，发现一种新型计算机病毒，经分析确认，该病毒是昨日在美国发现的尼姆达(Nimda)蠕虫病毒，继红色代码和蓝色代码病毒出现后，一种能够同时感染微软操作系统的服务器和PC机的病毒又被发现，并已经以大量的数据堵塞了Internet通讯，促使FBI(美国联邦调查局)不得不组建一支特别部队来调查遭受袭击的情况。
　　　一、攻击的目标系统：
　　该病毒可以感染Windows 95/98/ME/NT/2000，以及Windows NT/2000的服务器。
　　　二、传播方式：
　　1.通过邮件传播，当用户收到的邮件的正文为空，似乎没有附件，实际上邮件中嵌入了病毒的执行代码，当用户用Outlook、Outlook Express(没有安装微软的补丁包的情况下)收邮件，在预览邮件时，病毒自动执行并且将自身复制到系统临时目录，同时运行临时目录中的副本。
　　2.利用了IIS的漏洞(Unicode Web Traversal Exploit)，采用与“红色代码Ⅱ”和“蓝色代码”类似的方式，通过网络传播。找到目标机，立即在创建具有Administrator权限的Guest账号；同时，在被感染计算机上共享文件夹。
　　3.通过局域网的共享传播到其他系统，在被感染的计算机继续共享文件夹。
　　　三、病毒特征：
　　如果系统感染W32/Nimda@MM病毒，计算机将出现一种或者几种症状：
　　1.染此病毒的NT和2000服务器，在WinNT\system32\logfiles\W3SV
　　C1目录下的日志文件中含有以下内容
　　GET/scripts/root.exe﹖/c+dir
　　GET/MSADC/root.exe﹖/c+dir
　　GET/c/winnt/system32/cmd.exe﹖/c+dir
　　GET/d/winnt/system32/cmd.exe﹖/c+dir
　　GET/scripts/..%5c../winnt/system32/cmd.exe﹖/c+dir
　　GET/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe﹖/c+dir
　　GET/_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe﹖/c+dir
　　……
　　2.System.ini文件内容被修改
　　正常情况为：Shell=explorer.exe
　　感染病毒后变为：Shell=explorer.exe load.exe -dontrunold
　　3.windows/system目录下存在如下文件load.exe(大小为57344字节)、riched20.dll(大小为57344字节)。
　　4.硬盘可写中创建后缀为Readme.eml的文件。文件内容中包含
　　<HTML>
　　<HEAD></HEAD>
　　<BODY bgColor=3D#ffffff>
　　<br>
　　<iframe src=3DcidEA4DMGB
　　P9p height=3D0 width=3D0>
　　<br>
　　</iframe></BODY>
　　</HTML>
　　以及
　　Content-Type:audio/x-wav；
　　name="readme.exe"
　　Content-Transfer-Encoding:base64
　　5.进程中有进程名称为“xxx.tmp.exe”以及“Load.exe”的进程(其中xxx为任意文件名);
　　6.TEMP目录有文件长度为57344字节的文件；
　　7.在C、D、E等逻辑盘的根目录下寻找Admin.DLL文件，如果在根目录下存在该文件，证明感染病毒。
　　　四、解决方案 :
　　1.去掉网络共享，防止进一步通过局域网传染。
　　2.下载安装补丁程序
　　IIS的补丁如下：
　　http://www.microsoft.com/technet/security/bulletin/MS01-044.asp 。
　　客户端用户的补丁如下：
　　http://www.microsoft.com/technet/security/bulletin/MS01-020.asp 。
　　3.将system.ini中的Shell=explorer.exe load.exe-dontrunold改为Shell=explorer.exe。
　　4.删除system目录下的load.exe、riched20.dll文件。
　　5.删除wininit.ini文件中的内容。
　　6.清除工具下载：金山毒霸推出了专门查杀该病毒的工具Duba_Concept，下载地址：http://bj.iduba.net/download/othertools/Duba_Concept.EXE
　　7.安装微软最新安全工具
　　IIS LockDown Tool，采用默认安装方式，IIS LockDown帮助系统管理员对IIS进行安全性设置，下载地址：http://www.microsoft.com/technet/security/tools/locktool.asp
　　IIS URLScan Tool，采用默认安装方式，IIS URLScan Tool是微软发布的IIS网络服务器安全过滤软件，可以即时监控所有发往IIS Web服务器的请求，只允许那些符合特定规则的请求通过。系统管理员都会制定安全规则，通过使用这一工具可以使服务器只对那些有效请求做出回答，从而显著提高系统的安全性。这一工具允许网络管理员制定基于长度、字符集、内容和其他方面的过滤规则。缺省状态下，这一工具已经提供了大量有效的过滤规则，针对特定的服务器，用户可以进行具体配置。下载地址：http://www.microsoft.com/technet/security/URLScan.asp