尼姆达是一种邮件型病毒,以.eml的形式存在,它利用了OUTLOOK的漏洞,当你点击(单击)带毒邮件文件时或用OUTLOOK浏览邮件时,系统自动提取邮件中的README.EXE,README.EXE将在windows 的temp目录下产生mep****.tmp,mep****.tmp.exe(具有隐藏属性,外表是一个IE图标,让人以为是一个.HTML,)。可用查看进程信息的工具查看正在运行的进程,如果发现mep****.tmp.exe的进程应马上终止。
比如在本人机子产生的文件如下:mep52a5.tmp ,mep52a5.tmp.exe 还有mep52a6.tmp.exe(无用),mep52a6.tmp。然后mep52a5.tmp.exe将被运行它将进行传染等工作(具体传染和破坏功能正在研究中,粗提上看与蓝色代码类似)。
在带毒邮件中有如下特点:
<!--StartFragment-->--====_ABC1234567890DEF_====
Content-Type: audio/x-wav; //////////关键
name="readme.exe" ////////////关键
Content-Transfer-Encoding: base64
Content-ID: <EA4DMGBP9p>
在SYSTEM.INI中发现如下修改:
[boot]
shell=explorer.exe load.exe -dontrunold
在WINDOWS\SYSTEM目录下发现LOAD.EXE(IE图标,属性隐藏)
如发现以上状况说明你的机子以被感染了.
防御如下(WIN9X/ME):
安装保护硬盘程序如:冰盾V(内带的硬盘保护)、文件保护大师1.01(内带的硬盘保护卡)等。把虚拟内存设到别的地方(只要不和WINDOWS目录在一个驱动器),把INTERNET的临时文件夹设到别的地方(只要不和WINDOWS目录在一个驱动器).
运行硬盘保护,选择windows目录所在的驱动器保护ok。这样病毒将无法进入你的系统,你上网就安全了。(这只是临时预防,关键是下载OUTLOOK补丁和最新的杀毒软件)
