Nimda 病毒

Win32.Nimda worm (又名 W32/Nimda@MM)
Win32.Nimda worm特征：

　　Win32.Nimda（又名W32/Nimda@MM）是一种利用已知Internet Explorer和IIS系统的漏洞来进行传播的Internet 蠕虫。它也象文件型病毒那样可以感染Win32可执行文件和以html, htm, asp 为扩展名的文件。

　　蠕虫可能通过如下方式进入系统：

通过一个特定MIME 头的HTML 邮件;
通过浏览一个已受感染系统的WEB站点;
通过打开网络共享;
通过一个未打补丁的 IIS 系统 ( 4.0 和 5.0). 　 　　

　　 当用户浏览一个携带有蠕虫的HTML邮件，或访问一个被感染的WEB站点，Internet Explorer 会下载一个执行Nimda.A 代码的附件程序（ readme.exe ）。这种情况的产生是因为微软Internet Explorer 5.01 和 5.5中的"Incorrect MIME Header"弱点。这个安全漏洞的详细描述和相应补丁可参见： 　　 　

　 http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-020.asp 　　 　

　　对于运行IIS的系统，蠕虫可能利用如下HTTP安全漏洞:

Microsoft IIS 4.0/5.0文件许可规范漏洞（ File Permission Canonicalization Vulnerability ）
Microsoft IIS/PWS 字符逃离解码命令执行漏洞（Escaped Characters Decoding Command Execution Vulnerability ）
Microsoft IIS 和 PWS 扩展统一编码目录可通过漏洞（Extended Unicode Directory Traversal Vulnerability ） 　 　　

　　蠕虫通过任意选择的IP地址查找有漏洞的Internet 服务器。这个地址的产生和进行的扫描是由一个名为mmc.exe 的进程来执行的（mmc.exe 文件被蠕虫本身的副本所覆盖）。当mmc.exe 进程执行的时候，Win NT/2000用户可能会明显感到系统性能变慢。此外，蠕虫会把自身复制为Admin.dll 文件到所有驱动器的根目录。（蠕虫会把Admin.dll 标记为真的DLL文件） 　　 　　

　　当蠕虫连接到受害机器的后，会搜索所有目录并通过在文件中加入一行JavaScript 代码来感染htm, asp 和 html文件 。在感染成功的每一个目录中，蠕虫都会生成含有它自身MIME 代码格式的文件readme.eml 或 readme.nws。当一个受感染的htm* 或 asp文件被打开后蠕虫将在这些MIME文件中被执行。此外,蠕虫病毒还会生成许多*.eml的文件.

　　蠕虫会感染Win32可执行文件（Winzip32.exe 文件除外），并让这些受感染的程序使用原来的图标。

　　在感染的 Win9x 系统上，蠕虫为了在下一次能被执行，会复制自身为load.exe 文件到Windows 的系统目录下，并修改system.ini 文件:

　　Shell=explorer.exe load.exe -dontrunold

　　Nimda.A也会以一个合法的文件名riched20.dll复制自身到含有.DOC文件的目录中。

Win32.Nimda worm的检测和清除：

1， 把所有的共享取消或改为只读
2， 升级kill至28。06以上版本，并对整个硬盘进行扫描。
3， 如果是Win9x系统，修改system.ini中的Shell=explorer.exe load.exe -dontrunold为Shell=explorer.exe
4， 如果是WinNT或者Win2000，打开"控制面板|用户和密码"，如果Administrator组中有guest帐号，则删除

　　蠕虫使用的IIS4.0或5.0中漏洞的相关介绍和补丁，请参见微软网站
　　http://www.microsoft.com/technet/security/bulletin/ms00-078.asp

　　IE 5.01和5.5的相应漏洞和补丁可参见
　　http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

　　此外，我们还提供专门治愈这个病毒的程序，可咨询（010-65612408， 65612426， 8008100412
　　　　　　　　　　　　　　　　　　　　　　　　　　021-62185578-601
　　　　　　　　　　　　　　　　　　　　　　　　　　020-38781212）

最新清除方法说明：

为了更快速地清除Nimda蠕虫病毒，我们特别推出配合 KILL 使用的专用清除程序：CleanNimda.zip（下载)最新的程序可清除最新出现的 Nimda.E变体。

清除步骤:
☆ 95/98系统中：
1，运行 CleanNimda.exe 程序可终止此蠕虫在内存中活动的程序，并且可以恢复被蠕虫更改的system.ini文件及蠕虫增加的网络共享。
2，使用KILL v28.08以上版本（v29.37以上版可检测 Nimda的各种新变体）进行扫描，清除被此蠕虫病毒感染的文件并删除其生成的文件。
（注意：由于病毒对系统目录\system目录中的 Riched20.DLL进行了不可恢复的改动，因此清除病毒后请用正常的文件覆盖病毒文件。这里为您提供98/NT/2000系统中的正常 Riched20.DLL文件）

☆ NT/2000系统中：
1，运行 CleanNimda.exe 程序可终止此蠕虫在内存中活动的程序，并可以将Guest账号从管理员组中清除。
2，使用KILL v28.08以上版本（v29.37以上版可检测 Nimda的各种新变体）进行扫描，清除被此蠕虫病毒感染的文件并删除其生成的文件。
（注意：由于病毒对系统目录\system32目录中的 Riched20.DLL进行了不可恢复的改动，因此清除病毒后请用正常的文件覆盖病毒文件。这里为您提供98/NT/2000系统中的正常 Riched20.DLL文件）

详细说明参见其中的说明文件。

最新发布的 KILL v29.37 以上版可清除当前所有发现的 Nimda蠕虫病毒及其变体。 >>下载最新升级文件

使用 v28.08清除 Nimda蠕虫病毒的常见问题;
　　在使用 CleanNimda 工具后，KILL 可以清除全部系统中被感染的文件。但是对于*.eml及*.nws 文件，由于这类文件是病毒生成的文件，因此可直接删除或选择改名。

　

冠群金辰资料整理

转自 [a]http://www.kill.com.cn/maindoc/virus/virus4_nimda.stm[/a]