小白:诶?大东,生物病毒有传播很快的,那电脑病毒有快慢之分吗?
大东:当然有哦,给你举个例子吧!介绍传播最快的软件之一——Nimda。
小白:哦?这是什么病毒?
大东:尼姆达病毒(Nimda)是典型的蠕虫病毒,由JavaScript脚本语言编写,通过email、共享网络资源、IIS服务器、网页浏览等途径传播,修改本地驱动器上的.htm,.html和.asp文件。此病毒可以使IE和Outlook Express加载产生readme.eml病毒文件。
小白:哇,那它有多快呢?
大东:这种病毒于2001年9月18日上午9:08被发现,半小时之内就传遍了世界,传播范围和破坏程度大大超过前一段时间极度肆虐的“红色代码”病毒。
小白:那可真是十分可怕了。
大东:尼姆达通过互联网迅速传播,在当时是传播最快的病毒。尼姆达病毒的主要攻击目标是互联网服务器。尼姆达可以通过邮件等多种方式进行传播,这也是它能够迅速大规模爆发的原因。
大东:尼姆达病毒会在用户的操作系统中建立一个后门程序,使侵入者拥有当前登录账户的权限。尼姆达病毒的传播使得很多网络系统崩溃,服务器资源都被蠕虫占用。从这种角度来说,尼姆达实质上也是DDOS的一种。
大东:该病毒会通过email传播,当用户邮件的正文为空,似乎没有附件,实际上邮件中嵌入了病毒的执行代码,当用户用OUTLOOK、OUTLOOK EXPRESS(没有安装微软的补丁包的情况下)收邮件,在预览邮件时,病毒就已经不知不觉中执行了。
大东:Worms.Nimda运行时,会搜索本地硬盘中的HTM和HTML文件和EXCHANGE邮箱,从中找到email地址,并发送邮件;搜索网络共享资源,并将病毒邮件放入别人的共享目录中;利用CodeBlue病毒的方法,攻击随机的IP地址,如果是IIS服务器,并未安装补丁,就会感染该病毒。该蠕虫用它自己的SMTP服务器去发出邮件,同时用已经配置好的DNS获得一个mail服务器的地址。
大东:Worms.Nimda运行时,会查找本地的HTM/ASP文件,将生成的带毒邮件放入这些文件中,并加入JavaScript脚本。这样,每当该网页被打开时,就自动打开该染毒的readme.eml。
大东:是的呢,该邮件通过网络共享,Windows的资源管理器中选中该文件,Windows将自动预览该文件,由于OutlookExpress漏洞,导致蠕虫自动运行,因此即使不打开文件,也会感染病毒。当病毒执行,它会在Windows目录下生成MMC.EXE文件,并将其属性改为系统、隐藏。
大东:是啊,病毒会用自己覆盖SYSTEM目录下的Rlched20.DLL,Rlched20.DLL文件是Office套件运行的必备库,写字板等也要用到这个动态库,任何要使用这个动态库的程序启动,就会激活该病毒。病毒将自己复制到system目录下,并改名为load.exe,系统每次启动时,自动运行该病毒。病毒会以超级管理员的权限建立一个guest的访问帐号,以允许别人进入本地的系统。
病毒改变Explorer的设置,这样就让它无法显示隐藏文件和已知文件的扩展名。
大东:首先它是感染文件,尼姆达病毒定位系统中exe文件,并将病毒代码置入原文件体内,从而达到对文件的感染,当用户执行这些文件的时候,病毒进行传播。其次是邮件乱发,尼姆达病毒利用MAPI从邮件的客户端及HTML文件中搜索邮件地址,然后将病毒发送给这些地址,这些邮件包含一个名为eadme.exe的附件,系统(NT及win9x未安装相应补丁)中该eadme.exe能够自动执行,从而感染系统。
大东:真聪明,尼姆达病毒还会扫描internet,试图找到www(万维网)主机,找到服务器,病毒便会利用已知的系统漏洞来感染该服务器,发送成功,蠕虫将会随机修改该站点的web页,当用户浏览该站点时,便会感染。
大东:最后一种叫局域网,尼姆达病毒搜索本地网络的文件共享,文件服务器或终端客户机,安装一个名为riched20.dll的隐藏文件,到每一个包含doc和eml文件的目录中。当用户通过word、写字板、outlook打开doc或eml文档时,该应用程序将执行riched20.dll文件,从而进行感染。该病毒还可以感染远程的在服务器被启动的文件。
大东:现在的杀毒软件已经完全预防啦。
大东:也有办法的哦,没有网络局域网的企业级用户,没有网络版的反病毒(杀毒软件),清除作操方法:热启动,结束此蠕虫病毒的进程。在系统的temp文件目录下删除病毒文件。使用无毒的riched20.dll(约100k)文件替换染毒的同名的riched20.dll文件(57344字节)将系统目录下的load.exe文件(57344字节)彻底删除以及windows根目录下的mmc.exe文件。
大东:还要在各逻辑盘的根目录下查找Admin.DLL文件,如果有Admin.DLL文件的话,删除这些病毒文件,并要查找文件名为Readme.eml的文件,也要删除它。如果用户使用的是Windows NT或Windows 2000的操作系统的计算机,那么要打开“控制面板”,之后打开“用户和密码”,将Administrator组中guest帐号删除。