什么是尼姆达病毒?
Nimda病毒不但发送染毒邮件,还会感染EXE文件。目前声称能处理该病毒的反病毒公司都采取删除染毒文件的方式杀毒,导致很多重要程序不能运行,甚至机器瘫痪。瑞星公司推出世界上唯一可安全清除染毒文件的方法,不但可以清除染毒文件,还可清除内存中的病毒,确保杀毒之后系统正常运行。
Worms.Nimda 是一个新型蠕虫,也是一个病毒,它通过email、共享网络资源、IIS服务器传播。同时,它也是一个感染本地文件的新型病毒。
Worms.Nimda运行时搜索本地硬盘中的HTM、HTML文件和EXCHANGE邮箱,从中找到EMAIL地址,并向这些地址发送邮件;搜索网络共享资源,并试图将带毒邮件放入别人的共享目录;利用CodeBlue病毒的方法攻击随机IP地址,如果是未安装补丁的IIS服务器就会中毒。该蠕虫用它自己的SMTP服务器发送邮件,同时用已经配置好的DNS获得一个mail服务器地址。
Worms.Nimda运行时查找本地的HTM/ASP文件,将生成的带毒邮件放入这些文件中,并加入JavaScript脚本:。这样,每当该网页被打开时,就会自动打开该染毒的readme.eml。
Worms.Nimda用两种方法感染本地PE文件:一种是查找所有的WINDOWS 应用程序(在HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Currentversion/App Paths中),并试图感染,但不感染WINZIP32.EXE;第二种方法搜索所有文件,并试图感染,被感染的文件会增大约57KB。
如果用户浏览一个已经被感染的web 页时,会被提示下载一个.eml(Outlook Express)的电子邮件文件。该邮件的MIME头是一个非正常的MIME头,它包含一个附件--即此蠕虫。这种邮件也可能是别人通过网络共享存入你的计算机,也可能是在别人的共享目录中。无论如何,只要你在WINDOWS的资源管理器中选中该文件,WINDOWS将自动预览该文件。由于Outlook Express的一个漏洞导致蠕虫自动运行,因此,即使你不打开文件也可能中毒。相关信息请参见微软安全网站:http://www.microsoft.com/technet/security/bulletin/MS01-020.asp。同时,该漏洞已有安全补丁:http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp。
当这个蠕虫执行的时候,它会在WINDOWS目录下生成MMC.EXE文件,并将其属性改为系统、隐藏;它会用自身覆盖SYSTEM目录下的RICHED20.DLL,这个文件是OFFICE套件运行的必备库,WINDOWS的写字板等也要用到这个动态库,任何要使用这个动态库的程序试图启动时都会激活该它;它会将自己复制到SYSTEM目录下,并改名为LOAD.EXE,同时将SYSTEM.INI文件中的SHELL项改为“explorer.exe load.exe –dontrunold”,这样,在系统每次启动时将自动运行它;这个蠕虫会在已经感染的计算机共享所有本地硬盘,同时,这个蠕虫会以超级管理员的权限建立一个guest的访问帐号,以允许别人进入本地的系统。这个蠕虫改变Explorer的设置这样就让它无法显示隐藏文件和已知文件的扩展名。
看到一本书上问:在你看来,Nimda是病毒还是蠕虫?不懂啊,谁能解答一下?
Nimda第一次是在2001年9月18日出现的病毒,随着它在因特网上的传播,最终引起了整个网络的通信减缓,它的传播通过四个不同的方法,感染包扩微软的Web服务器在内的计算机,因特网信息服务器(IIS)和打开电子邮件附件的用户。和众多以前的病毒一样,Nimda的有效负载似乎是减缓通信本身-因此,除了消耗时间之外它不会出现破坏文件或者导致其他损坏,这种情况下它可能因为太慢而访问失败与服务器的联系或者因为通信损失会被服务器拒绝。由于Nimda是的多尖端分叉的攻击的,它似乎出现的同类型病毒里最麻烦的一个了。它的名字(是“admin”这个词的倒置)很明显是关于“admin.DLL”文件,当它运行的时候就会持续不断的繁殖病毒。
简述Nimda的工作原理:
•它随机选择一定范围的IP地址并对之进行刺探,尝试找到该IP的机器上存在于IIS的弱点。一个有着暴露的IISWeb服务器的系统会读取包含了植入式JavaScript的网页并自动执行它,在该服务器上所有的网页里生成相同的代码。
•当使用IE5.01或者更早版本的IE浏览器的用户访文被感染Web服务器的时候,他们就会不知不觉得下载带有自动执行JavaScript的页面,导致病毒被随机地发送到连接在因特网上的其他计算机。
•Nimda也能感染Web服务器所在的网络里的有网络共享(部分的文件空间)的用户。
•最后,Nimda会让一个被感染系统发送带有readme.exe附件的电子邮件给本地Windows地址簿里列出的地址。打开或者预览这一附件(这是一个带有JavaScript的网页)的用户将继续传播这个病毒。
尼姆达”(Nimda)新变种病毒简介
“尼姆达”新变种命名为Worm.Concept.118784。其特点是在病毒源代码中有一段说明:Concept Virus(CV)V.6,Copyright(C)2001,(This"s CV,No Nimda.)。(意思是:这是概念病毒,不是尼姆达病毒。)它在尼姆达病(Worm.Concept.57344)上做的改动有:
l 附件名从Readme.exe改为Sample.exe;
l 感染IIS系统时生成的文件从Admin.dll改为Httpodbc.dll;
l 在NT/2000及相关系统,病毒拷贝自己到Windows的system目录下,不再叫mmc.exe,而用Csrss.exe的名字。
Net-Worm.Win32.Nimda是什么病毒?还有Email-Worm.Win32.Runouce.b这些究竟是什么啊?
尼姆达病毒,前一段时间很流行,后者是一般的邮件病毒,是一种通过电子邮件传播的恶意蠕虫。当用户邮件的正文为空时,似乎没有附件,实际上邮件中嵌入了病毒的执行代码。只要用户用OUTLOOK、OUTLOOK EXPRESS(没有安装微软的补丁包的情况下)收取邮件,在预览邮件时,病毒的执行代码就已经在不知不觉中执行了。执行时会将自身复制到临时目录下,再运行在临时目录中的副本。
具体杀毒过程十分复杂,但是有网友曾经和你中毒的情况一样,并做了杀毒的总结,你可以借鉴一下
http://hi.baidu.com/maomao694/blog/item/cb9cdc1386defad2f6039e09.html
JS.Nimda这个病毒中文名是什么?怎么杀啊?
脚本病毒
推荐先用超级兔子清理系统垃圾以及流氓垃圾软件
超级兔子魔法设置 v7.46 正式版
http://www.crsky.com/soft/2924.html
然后推荐你用最强的杀木马软件Ewido进行全盘杀毒!卡巴不能解决的问题它都能解决,最好先用优化软件清楚系统垃圾!
(这是绿色版,无须安装即可使用,网站里面也有安装版)
http://www.orsoon.com/Software/catalog184/2727.html
注册码: 6617-EBE8-D1FD-FEA2
解压后先升级病毒库,再运行杀毒!
最好进入安全模式杀毒
Worm.Win32.Nimda(尼姆达 蠕虫)病毒,太可怕了。有什么简介可解的办法?求答!360又自杀,没办法。
1、下个冰刃把不必要的进程都关了。。。检查启动项,只保留杀软和必要软件的启动
2、检查各个磁盘是否有自动运行
3、手动删除病毒文件(别忘了清空回收站)。重点:畸形文件夹,临时文件目录