一、Nimda黑客蠕虫病毒情况简介
肆虐全球的 CodeRed 红色代码蠕虫病毒的余波尚未平息,各网管还未来得及松一口气,又一种破坏力极强的新病毒已经开始象野火一样开始在互联网上蔓延开来,这种名为Nimda "尼姆达"的病毒于18日上午9:08被发现,半小时之内就传遍了世界,其传播范围和破坏程度将大大超过前一段时间极度肆虐的"红色代码"病毒。 据冠群金辰反病毒监测网的报告,我国各地均有病毒的感染案例,由于此病毒能通过多种方法攻击Win32系统,一种方法不行它会尝试另外一种方法攻击,直至成功,其攻击对网络造成的通信阻塞是空前的。目前已有多家报告因受此病毒攻击,造成网络瘫痪,其危害性不言而喻。
那么,这种病毒是通过何种手段造成如此巨大的破坏呢? 这个名为Nimda "尼姆达"的蠕虫病毒与以往的蠕虫病毒有很大不同,它可通过三种方式传播:Email附件、HTTP、硬盘共享,并且能感染所有32位Windows操作系统:Windows 98/Me, NT,2000, XP。
这种新病毒也是利用运行于视窗NT或视窗2000上的微软互联网服务器软件存在的安全隐患展开攻击,这一点与"红色代码"病毒相同,但它同时也可以感染客户端。即用户在浏览染毒的网页时就可能会受到感染。此病毒还通过Ooutlook,Outlook Express邮件客户端传播,会在用户访问带毒的邮件时在用户毫不知晓的情况下感染用户的系统,这一点又与前一段时间流行的邮件蠕虫病毒Happytime很相似。此外,它对系统共享也作了手脚,为每个盘符创建网络共享。在 Win9x/ME系统上,该共享被设置为完全共享,无需密码。在WinNT/2K系统上,GUEST用户被赋予管理员权限,并得到共享权限。在网络共享这一方面,又与Funlove病毒相似。
从上面的分析可以看到,此新病毒集各家之所长,从多方面利用了系统的漏洞,所以该种黑客蠕虫病毒的危害非常大,并且来势汹汹,事实上这种黑客蠕虫病毒已经远远超越了反病毒的范畴,而且从最近病毒爆发的情况来看,这种病毒代表了未来病毒的发展趋势。通过单一的防病毒产品很难解决Nimda及未来的各种类似病毒,治理Nimda们需要一个完善的安全解决方案。
二、整体解决方案 当务之急是我们要先解决和防御Nimda带来的破坏,另外我们需要比以往任何时候都要重视网络安全的问题,通过构建自身有效的安全防御系统来亡羊补牢、防患于未然。 解决然眉之急--Nimda的清查方案 可按照如下步骤手动清毒:
1, 从微软网站 http://www.microsoft.com/technet/security/bulletin/ms00-078.asp 和 http://www.microsoft.com/technet/security/bulletin/MS01-020.asp 下载相应补丁并执行,然后关闭本机的所有共享。
2,按ctrl-alt-del,结束 "xxx.tmp.exe"以及"Load.exe"的进程。
3,删除temp目录中的文件。
4,用干净的 Riched20.DLL(大约100k)文件替换染毒的同名Riched20.DLL文件(57344字节)。
5,删除系统目录下的load.exe文件(57344字节),windows根目录下的mmc.exe文件,在C:\、D:\、E:\三个逻辑盘的根目录下如果有Admin.DLL文件,删除这些文件,查找文件名为Readme.eml的文件,删除它。
6,System.ini文件[load]中如果有一行"shell=explorer.exe load.exe -dontrunold",改为"shell=explorer.exe"
7,删除HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Network\LanMan\ 和HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\MapMail\ 的键值。
8, 如果是WinNT或者Win2000,打开"控制面板|用户和密码",将Administrator组中的guest帐号删除。 KILL的最新病毒特征码28.06已可查杀此病毒。
从最近几次病毒的大规模爆发可看到,它们的肆虐主要是利用了系统的漏洞,如这次Nimda就利用了Microsoft Web Folder Transversal漏洞(W32/CodeBlue病毒也使用了此漏洞)和 Microsoft incorrect MIME Header 漏洞。它还利用了W32/CodeRed.c蠕虫创建的后门。如果服务器的安全性足够高,不存在可利用的安全漏洞和隐患的话,Nimda和未来的Nimda们则没有发作或传播的可能性。所以我们根治Nimda和类似黑客蠕虫病毒的方法是提高服务器系统本身的安全性。
