谨防“尼姆达”蠕虫病毒

Author: 刘君 Date: 2001年 39期

?牐牸扑慊《痉乐尾芳煅橹行聂吖壹扑慊《居?急处理中心2001年9月19日晨接到用户报告，发现一种新型计算机病毒，经分析确认，该病毒是昨日在美国发现的尼姆达（Nimda）蠕虫病毒，继红色代码和蓝色代码病毒出现后，一种能够同时感染微软操作系统的服务器和PC机的病毒又被发现，并已经以大量的数据堵塞了Internet通讯，促使FBI（美国联邦调查局）不得不组建一支特别部队来调查遭受袭击的情况。
　　#1?牐犚弧⒐セ鞯哪勘晗低?:
　　?牐牳貌《究梢愿腥網indows 95/98/ME/NT/2000，以及Windows NT/2000的服务器。
　　#1?牐牰⒋シ绞?:
　　?牐?1.通过邮件传播，当用户收到的邮件的正文为空，似乎没有附件，实际上邮件中嵌入了病毒的执行代码，当用户用Outlook、Outlook Express（没有安装微软的补丁包的情况下）收邮件，在预览邮件时，病毒自动执行并且将自身复制到系统临时目录，同时运行临时目录中的副本。
　　?牐?2.利用了IIS的漏洞（Unicode Web Traversal Exploit），采用与“红色代码Ⅱ”和“蓝色代码”类似的方式，通过网络传播。找到目标机，立即在创建具有Administrator权限的Guest账号；同时，在被感染计算机上共享文件夹。
　　?牐?3.通过局域网的共享传播到其他系统，在被感染的计算机继续共享文件夹。
　　#1?牐犎⒉《咎卣?:
　　?牐犎绻低掣腥網32/Nimda@MM病毒，计算机将出现一种或者几种症状:
　　?牐?1.染此病毒的NT和2000服务器，在WinNT\system32\logfiles\W3SV
　　?牐燙1目录下的日志文件中含有以下内容
　　?牐燝ET/scripts/root.exe﹖/c+dir
　　?牐燝ET/MSADC/root.exe﹖/c+dir
　　?牐燝ET/c/winnt/system32/cmd.exe﹖/c+dir
　　?牐燝ET/d/winnt/system32/cmd.exe﹖/c+dir
　　?牐燝ET/scripts/..%5c../winnt/system32/cmd.exe﹖/c+dir
　　?牐燝ET/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe﹖/c+dir
　　?牐燝ET/_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe﹖/c+dir
　　?牐牎?
　　?牐?2.System.ini文件内容被修改
　　?牐犝Ｇ榭鑫?:Shell=explorer.exe
　　?牐牳腥静《竞蟊湮?:Shell=explorer.exe load.exe -dontrunold
　　?牐?3.windows/system目录下存在如下文件load.exe（大小为57344字节）、riched20.dll（大小为57344字节）。
　　?牐?4.硬盘可写中创建后缀为Readme.eml的文件。文件内容中包含
　　?牐牐糎TML＞
　　?牐?<HEAD＞＜/HEAD＞
　　?牐牐糂ODY bgColor=3D#ffffff＞
　　?牐牐糱r＞
　　?牐牐糹frame src=3Dcid?烢A4DMGB
　　?牐燩9p height=3D0 width=3D0＞
　　?牐牐糱r＞
　　?牐牎　。?/iframe＞＜/BODY＞
　　?牐牐?/HTML＞
　　?牐犚约?
　　?牐燙ontent-Type：audio/x-wav；??
　　?牐爊ame="readme.exe"
　　?牐燙ontent-Transfer-Encoding：base64
　　?牐?5.进程中有进程名称为“xxx.tmp.exe”以及“Load.exe”的进程（其中xxx为任意文件名）；
　　?牐?6.TEMP目录有文件长度为57344字节的文件；
　　?牐?7.在C、D、E等逻辑盘的根目录下寻找Admin.DLL文件，如果在根目录下存在该文件，证明感染病毒。
　　#1?牐犓摹⒔饩龇桨? :
　　?牐?1.去掉网络共享，防止进一步通过局域网传染。
　　?牐?2.下载安装补丁程序
　　?牐營IS的补丁如下：
　　?牐爃ttp://www.microsoft.com/technet/security/bulletin/MS01-044.asp 。
　　?牐牽突Ф擞没У牟苟∪缦拢?
　　?牐爃ttp://www.microsoft.com/technet/security/bulletin/MS01-020.asp 。
　　?牐?3.将system.ini中的Shell=explorer.exe load.exe-dontrunold改为Shell=explorer.exe。
　　?牐?4.删除system目录下的load.exe、riched20.dll文件。
　　?牐?5.删除wininit.ini文件中的内容。
　　?牐?6.清除工具下载:金山毒霸推出了专门查杀该病毒的工具Duba_Concept，下载地址:http://bj.iduba.net/download/othertools/Duba_Concept.EXE
　　?牐?7.安装微软最新安全工具
　　?牐營IS LockDown Tool，采用默认安装方式，IIS LockDown帮助系统管理员对IIS进行安全性设置，下载地址:http://www.microsoft.com/technet/security/tools/locktool.asp
　　?牐營IS URLScan Tool，采用默认安装方式，IIS URLScan Tool是微软发布的IIS网络服务器安全过滤软件，可以即时监控所有发往IIS Web服务器的请求，只允许那些符合特定规则的请求通过。系统管理员都会制定安全规则，通过使用这一工具可以使服务器只对那些有效请求做出回答，从而显著提高系统的安全性。这一工具允许网络管理员制定基于长度、字符集、内容和其他方面的过滤规则。缺省状态下，这一工具已经提供了大量有效的过滤规则，针对特定的服务器，用户可以进行具体配置。下载地址:http://www.microsoft.com/technet/security/URLScan.asp