| 尼姆达变种“本拉登”病毒开始大量传播 |
|
|
| 新浪科技 新浪科技 2001-11-09 |
前些时候肆虐一时的尼姆达(“中国一号”)计算机病毒,在发动完一轮攻击之后,现在改头换面成“本.拉登”病毒再次出现,并开始大规模传播。
“中国一号” (I-WORM/CHINA-1#)网络蠕虫病毒是根据病毒体内的标记“R.P.China Version 1.0”命名的,也称为“尼姆达”(Nimda)病毒。最近流行的“尼姆达”E是该病毒的一种变种,它修改了原来自身的一些错误(BUG)并且对病毒程序做了一些修改。“本.拉登”
35840变种病毒继承了上述病毒的核心内容,采用了压缩和加密技术。该病毒体内含有声称“本.拉登”是“英雄”等内容。较以前相比,变种蠕虫程序使用了不同的文件名称、具有不同的文件的大小。
该病毒具有如下特征:
感染WINDOWS 9X/ME、WINDOWS NT、WINDOWS 2000操作系统。利用的是OUTLOOK的漏洞进行传播。当我们浏览含有病毒邮件时,病毒利用病毒体内VBScript代码在本地的可执行性(通过Windows Script Host进行),对当前计算机进行感染和破坏。一旦我们将鼠标箭头移到带有病毒体的邮件名上时,就能受到该网络蠕虫的感染,具有很强传染能力。
病毒在WINDOWSSYSTEM目录内生成病毒文件RICHED20.DLL和LOAD.EXE,或README.EXE、MMC.EXE等等,在所有硬盘的根目录下生成ADMIN.DLL等名字的病毒文件,其字节数为:57344或35840字节。
变种网络蠕虫的破坏作用仍然是大量发送EMAIL邮件,找出Email地址发送病毒本身,邮件附件的名称是Sample.exe、Xerox.exe或MEP23XX.EXE,在邮件中看不到该附件。
病毒传染Html、nws、.eml、.doc、.exe等文件,将这些文件大部分破坏或替换。
病毒对系统文件SYSTEM.INI进行了修改,在[boot]组下的
shell=explorer.exe load.exe ?dontrunold,
这样在系统每次启动时该病毒就会传染,驻留内存。
病毒利用IIS5.0的漏洞,上传ADMIN.DLL在C:、D:...并修改用户的主页,在主页后加了一个链接README.EML。感染的电脑均不断生成一个个随机文件名的eml文件,并且还在C:INETPUBScripts或WINDOWSTEMP目录中不断复制为TFTP00X.DAT、MEPXXXX.EXE的文件,其字节数为:57344、35840字节。
变种网络蠕虫有4种传播方式:
(1) 通过EMAIL发送在客户端看不到的邮件附件程序XXXXXX.exe,该部分利用了微软的OE信件浏览器的漏洞;
(2) 通过网络共享的方式来传染给局域网络上的网络邻居,我们在网络上使用电脑时,建议不设置完全不使用密码的共享方式,设置密码可以有效防止该病毒的传播;
(3) 通过没有补丁的IIS服务器来传播,该传播往往是病毒屡杀不绝的原因;
(4) 通过感染普通的文件来传播,在这一点上和普通的病毒程序相同。
实际上(1)和(3),我们普通的用户只要将微软的补丁程序下载运行,就能有效预防,。这是人们日常工作的习惯问题,或者说是病毒利用了人们的“疏忽”。
微软WEB的UNICODE 漏洞补丁程序的下载地址是:
www.microsoft.com/technet/security/bulletin/ms00-078.asp.
OUTLOOK的MIME漏洞补丁程序的下载地址:
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp.清除该病毒只需要在Windows下运行最新版本的KVW3000的杀毒程序,就可以从内存中和硬盘上干净的清除。在DOS下,运行升级后的KV3000.exe或KVD3000.exe也可彻底的杀除病毒。
提醒广大计算机用户注意;经常留意江民公司的反病毒信息,及时升级您手中的KV3000。
|
|
|
|
|
 |
|
|
|
|
|
|
|
