天网公布NIMDA病毒危害及清除和免疫新方案
--------------------------------------------------------------------------------
http://www.sina.com.cn 2001年09月20日 12:54 新浪科技
天网提供稿件
九月十九日,美国和日本计算机专家宣称,一种破坏力极大的电脑病毒正通过互联网在全球迅速传播,家用和商用电脑都可能感染这种病毒,而其破坏力之大远远超过前段时间刚刚流行的“红色代码”。为此,FBI已经组建专门的部队来对付NIMDA病毒病毒,以阻止该病毒造成更大的损失。
中国国家计算机病毒紧急反应中心称,北京、深圳和安徽等地的100多台计算机已经感染了NIMDA病毒病毒。从目前的情况来看,在中国境内感染该病毒的机器恐怕远远不只一百多台,因为在前天晚上,也就是9月18日,天网安全试验室已经接到用户报告,在昨天,天网技术支持部接到数百个电话和上千封关于NIMDA病毒病毒的邮件。因此,天网安全试验室紧急推出天网NIMDA病毒病毒手工清除和免疫方案,一方面让广大的计算机用户避免遭受NIMDA病毒病毒的损失,另一方面减轻天网技术支持部的工作压力。
NIMDA病毒危害
NIMDA病毒病毒爆发后,很多用户十分关心这个据说会比“红色代码”造成更大损失的病毒会对感染计算机系统造成什么样的破坏。从目前来看,其发作后只是针对计算机系统的漏洞进行自我复制和传播,从而大大降低计算机运行速度和引起网络阻塞,对用户计算机系统目前还没有诸如对文件操作等恶性破坏。但天网安全实验室安全专家指出,用户千万不要因为看到NIMDA病毒病毒对系统目前没有什么恶性破坏而掉以轻心,NIMDA病毒病毒有可能对感染的计算机系统进行更严重的破坏行为,如破坏文件系统,删除、修改或者传送用户文件等。
目前NIMDA病毒病毒可能给用户造成直接损失是其把传染计算机的C盘设为无密码的完全共享,可能会导致用户文件被恶意的攻击者利用而遭到复制、删除、修改甚至格式化硬盘等等。
NIMDA病毒病毒的破坏力可能还处于潜伏期,一旦其爆发或者其进行病毒变种,有可能造成比“红色代码”及“Sircam”病毒更大的损失,因为NIMDA病毒病毒传播和复制能力远高于这两个病毒。天网安全实验室正在紧急分析NIMDA病毒病毒的原码,以期望提前把NIMDA病毒病毒潜在的破坏能力揭晓开来,以避免对广大的计算机用户造成更大的损失。
NIMDA病毒是首先被硅谷的几家公司发现的。根据目前的调查和评估,没有证据表明这次病毒袭击与恐怖分子上周的袭击有关。不过,与7月份的红码病毒相比,这次袭击的后果也许要严重得多。说到该病毒的起源,耐人寻味的是,Nimda的名称不由得使人联想到其反向拼写admin,--它正是系统管理员一词通常的简写。有人根据病毒中的内容推测它可能来自中国;也有人指出NIMDA是一家以色列国防承包商的名字,但这种联系都未免过于牵强。
NIMDA病毒危害传播方式
NIMDA病毒病毒的传播方式有数种,其危险性在于都是利用IE或者IIS的漏洞在用户系统上不知不觉的运行。天网安全试验室专家指出,其传染方式与前不久爆发造成数十亿美元损失的红色代码相似,但它的传播速度将会大大快于红色代码,原因于红色代码仅仅针对装有IIS5.0并且存在漏洞的机器,一般装有IIS5.0的机器都是服务器,一般个人用户很少装这类软件,所以大部分个人用户是可以避免红色代码的感染。而NIMDA病毒病毒可以通邮件传播,并且利用IE漏洞,使邮件在用户浏览后自动执行病毒。同时天网安全试验室专家还指出,NIMDA病毒病毒的传播方式有多种,可以针对不同计算机系统灵活选择传播方式,其有三种方式,一是通过电子邮件传输,二是攻击安全性不高的服务器,三是攻击软盘驱动器。
NIMDA病毒清除和免疫新方案
Windows Nt/2000/XP的手工清除方法
1、结束其中进程名称为“xxx.tmp.exe”以及“Load.exe”的进程(xxx为任意文件名)
2、删除系统temp文件夹中文件长度为57344的文件
3、删除系统System文件夹中的长度为57344字节的Riched20.DLL文件及load.exe
4、打开System.ini文件,在[load]中如果有一行“shell=explorer.exe load.exe -dontrunold”,则改为“shell=explorer.exe”
5、在硬盘区的根目录下寻找Admin.DLL文件,如果在根目录下存在该文件,则删除它
6、打开“控制面板|用户和密码”,将Administrator组中的guest帐号删除
7、把C盘的完全共享取消掉
8、搜索整个硬盘,把所有readme.eml的文件删除,这时在你没有对系统进行免疫修复前,请不要点击任何readme.eml文件,用ctrl+A选取全部readme.eml文件,删除掉,如果单击了单个readme.eml文件,NIMDA病毒病毒将利用你的系统漏洞重新运行。
Win9X/Me的手工清除方法
1、重启操作系统进入到安全模式
2、删除系统temp文件夹中文件长度为57344的文件
3、删除系统System文件夹中的长度为57344字节的Riched20.DLL文件及load.exe
4、打开System.ini文件,在[load]中如果有一行“shell=explorer.exe load.exe -dontrunold”,则改为“shell=explorer.exe”
5、把C盘的完全共享取消掉
6、搜索整个硬盘,把所有readme.eml的文件删除,这时在你没有对系统进行免疫修复前,请不要点击任何readme.eml文件,用ctrl+A选取全部readme.eml文件,删除掉,如果单击了单个readme.eml文件,NIMDA病毒病毒将利用你的系统漏洞重新运行。
尽管这时候你已经清除了NIMDA病毒病毒,但是如果你不对你的系统进行免疫修复的话,你很快会受到新的NIMDA病毒病毒攻击,因为NIMDA病毒病毒的传播复制能力非常强,所以只有你的系统还存在漏洞,你就十分有可能重新再感染上NIMDA病毒病毒,所以天网安全实验室推出了NIMDA病毒病毒免疫方案:
1、打上微软官方的补丁SP2
微软官方已经就WINDOWS2000系统目前发现的漏洞做了个“十全大补”的补丁,可以弥补绝大部分的win2000漏洞。SP2共100M左右,可以到以下网址下载:
http://www.microsoft.com/windows2000/downloads/critical/q269862/default.asp
这个补丁恐怕对大多数用户来说是不可能的,100M的文件下载实在太慢了。
2、使用天网个人版防火墙的修补程序
在天网个人版防火墙中,提供了包括IE漏洞的天网安全检测修补系统,可以检查出WINDOWS中严重的系统漏洞,并自动修复它。目前的天网个人版(测试版)中所带的漏洞检测与修复系统已经可以检查和修复NIMDA病毒病毒赖以传染和传播的IE浏览器漏洞,所以对于防护NIMDA病毒病毒而言,是一个不可多得的顺手工具。经过了漏洞检测与修复系统修复之后的系统,NIMDA病毒病毒就无法直接在用户的机器上自动运行了。
天网防火墙的下载地址:www.sky.net.cn
另外建议将WSH(Windows Scripting Host)功能删除可预防此类病毒的破坏。
其步骤是:
"开始"->"设置"->"控制面版"->"添加删除程序"-〉"WINDOWS按装程序"-〉"附件",在"组件"中的"Windows scripting Host"(约占空间1.1MB),去掉选择,选"确定"即可,不过这样可能会影响一些功能。
对于个人用户,能过天网个人版防火墙的漏洞检测修复即可以一劳永逸的免疫掉readme.eml的侵害,在修复漏洞,这个病毒就无法自动运行,它将弹出运行窗口,这时你不要运行它即可以避免侵害。但对于服务器来说,还需要一些操作。
天网安全试验室正在密切关注NIMDA病毒病毒,并提醒广大用户迅速修补其系统漏洞,以避免给NIMDA病毒病毒的入侵造成可趁之机,天网安全阵线已经为NIMDA病毒病毒的防治制作了专题,用户可以登陆天网安全阵线(www.sky.net.cn)寻找更多NIMDA病毒病毒的解决方法。