紧急通知：98电子机房出现大面积病毒爆发！！！

紧急通知：98电子机房出现大面积病毒爆发！！！
Nimda病毒不但会发送染毒邮件，还会感染EXE文件，目前声称能处理该病毒的反病毒公司都是采取对染毒文件进行删除方式进行杀毒，导致很多重要程序不能运行，甚至机器瘫痪。
要想杀毒，请http://www.rising.com.cn/antivirus/net_virus/net219.htm
Nimda病毒不但发送染毒邮件，还会感染EXE文件。目前声称能处理该病毒的反病毒公司都采取删除染毒文件的方式杀毒，导致很多重要程序不能运行，甚至机器瘫痪。瑞星公司推出世界上唯一可安全清除染毒文件的方法，不但可以清除染毒文件，还可清除内存中的病毒，确保杀毒之后系统正常运行。

Worms.Nimda 是一个新型蠕虫，也是一个病毒，它通过email、共享网络资源、IIS服务器传播。同时，它也是一个感染本地文件的新型病毒。

Worms.Nimda运行时搜索本地硬盘中的HTM、HTML文件和EXCHANGE邮箱，从中找到EMAIL地址，并向这些地址发送邮件；搜索网络共享资源，并试图将带毒邮件放入别人的共享目录；利用CodeBlue病毒的方法攻击随机IP地址，如果是未安装补丁的IIS服务器就会中毒。该蠕虫用它自己的SMTP服务器发送邮件，同时用已经配置好的DNS获得一个mail服务器地址。

Worms.Nimda运行时查找本地的HTM/ASP文件，将生成的带毒邮件放入这些文件中，并加入JavaScript脚本：<html><script language="JavaScript">window.open("readme.eml",null, "resizable=no,top=6000,left=6000")</script></html>。这样，每当该网页被打开时，就会自动打开该染毒的readme.eml。

Worms.Nimda用两种方法感染本地PE文件：一种是查找所有的WINDOWS 应用程序(在HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Currentversion/App Paths中)，并试图感染，但不感染WINZIP32.EXE；第二种方法搜索所有文件，并试图感染，被感染的文件会增大约57KB。

如果用户浏览一个已经被感染的web 页时，会被提示下载一个.eml(Outlook Express)的电子邮件文件。该邮件的MIME头是一个非正常的MIME头，它包含一个附件--即此蠕虫。这种邮件也可能是别人通过网络共享存入你的计算机，也可能是在别人的共享目录中。无论如何，只要你在WINDOWS的资源管理器中选中该文件，WINDOWS将自动预览该文件。由于Outlook Express的一个漏洞导致蠕虫自动运行，因此，即使你不打开文件也可能中毒。相关信息请参见微软安全网站：http://www.microsoft.com/technet/security/bulletin/MS01-020.asp。同时，该漏洞已有安全补丁：http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp。

当这个蠕虫执行的时候，它会在WINDOWS目录下生成MMC.EXE文件，并将其属性改为系统、隐藏；它会用自身覆盖SYSTEM目录下的RICHED20.DLL，这个文件是OFFICE套件运行的必备库，WINDOWS的写字板等也要用到这个动态库，任何要使用这个动态库的程序试图启动时都会激活该它；它会将自己复制到SYSTEM目录下，并改名为LOAD.EXE，同时将SYSTEM.INI文件中的SHELL项改为“explorer.exe load.exe –dontrunold”，这样，在系统每次启动时将自动运行它；这个蠕虫会在已经感染的计算机共享所有本地硬盘，同时，这个蠕虫会以超级管理员的权限建立一个guest的访问帐号，以允许别人进入本地的系统。这个蠕虫改变Explorer的设置这样就让它无法显示隐藏文件和已知文件的扩展名。


IE补丁程序：微软关于“Nimda”蠕虫病毒的信息