天网公布NIMDA病毒危害及清除和免疫新方案

--------------------------------------------------------------------------------

http://www.sina.com.cn 2001年09月20日 12:54 新浪科技

　　天网提供稿件

　　九月十九日，美国和日本计算机专家宣称，一种破坏力极大的电脑病毒正通过互联网在全球迅速传播，家用和商用电脑都可能感染这种病毒，而其破坏力之大远远超过前段时间刚刚流行的“红色代码”。为此，FBI已经组建专门的部队来对付NIMDA病毒病毒，以阻止该病毒造成更大的损失。

　　中国国家计算机病毒紧急反应中心称，北京、深圳和安徽等地的100多台计算机已经感染了NIMDA病毒病毒。从目前的情况来看，在中国境内感染该病毒的机器恐怕远远不只一百多台，因为在前天晚上，也就是9月18日，天网安全试验室已经接到用户报告，在昨天，天网技术支持部接到数百个电话和上千封关于NIMDA病毒病毒的邮件。因此，天网安全试验室紧急推出天网NIMDA病毒病毒手工清除和免疫方案，一方面让广大的计算机用户避免遭受NIMDA病毒病毒的损失，另一方面减轻天网技术支持部的工作压力。

　　NIMDA病毒危害

　　NIMDA病毒病毒爆发后，很多用户十分关心这个据说会比“红色代码”造成更大损失的病毒会对感染计算机系统造成什么样的破坏。从目前来看，其发作后只是针对计算机系统的漏洞进行自我复制和传播，从而大大降低计算机运行速度和引起网络阻塞，对用户计算机系统目前还没有诸如对文件操作等恶性破坏。但天网安全实验室安全专家指出，用户千万不要因为看到NIMDA病毒病毒对系统目前没有什么恶性破坏而掉以轻心，NIMDA病毒病毒有可能对感染的计算机系统进行更严重的破坏行为，如破坏文件系统，删除、修改或者传送用户文件等。

　　目前NIMDA病毒病毒可能给用户造成直接损失是其把传染计算机的C盘设为无密码的完全共享，可能会导致用户文件被恶意的攻击者利用而遭到复制、删除、修改甚至格式化硬盘等等。

　　NIMDA病毒病毒的破坏力可能还处于潜伏期，一旦其爆发或者其进行病毒变种，有可能造成比“红色代码”及“Sircam”病毒更大的损失，因为NIMDA病毒病毒传播和复制能力远高于这两个病毒。天网安全实验室正在紧急分析NIMDA病毒病毒的原码，以期望提前把NIMDA病毒病毒潜在的破坏能力揭晓开来，以避免对广大的计算机用户造成更大的损失。

　　NIMDA病毒是首先被硅谷的几家公司发现的。根据目前的调查和评估，没有证据表明这次病毒袭击与恐怖分子上周的袭击有关。不过，与7月份的红码病毒相比，这次袭击的后果也许要严重得多。说到该病毒的起源，耐人寻味的是，Nimda的名称不由得使人联想到其反向拼写admin，--它正是系统管理员一词通常的简写。有人根据病毒中的内容推测它可能来自中国；也有人指出NIMDA是一家以色列国防承包商的名字，但这种联系都未免过于牵强。

　　NIMDA病毒危害传播方式

　　NIMDA病毒病毒的传播方式有数种，其危险性在于都是利用IE或者IIS的漏洞在用户系统上不知不觉的运行。天网安全试验室专家指出，其传染方式与前不久爆发造成数十亿美元损失的红色代码相似，但它的传播速度将会大大快于红色代码，原因于红色代码仅仅针对装有IIS5.0并且存在漏洞的机器，一般装有IIS5.0的机器都是服务器，一般个人用户很少装这类软件，所以大部分个人用户是可以避免红色代码的感染。而NIMDA病毒病毒可以通邮件传播，并且利用IE漏洞，使邮件在用户浏览后自动执行病毒。同时天网安全试验室专家还指出，NIMDA病毒病毒的传播方式有多种，可以针对不同计算机系统灵活选择传播方式,其有三种方式，一是通过电子邮件传输，二是攻击安全性不高的服务器，三是攻击软盘驱动器。

　　NIMDA病毒清除和免疫新方案

　　Windows Nt/2000/XP的手工清除方法

　　1、结束其中进程名称为“xxx.tmp.exe”以及“Load.exe”的进程(xxx为任意文件名)

　　2、删除系统temp文件夹中文件长度为57344的文件

　　3、删除系统System文件夹中的长度为57344字节的Riched20.DLL文件及load.exe

　　4、打开System.ini文件，在[load]中如果有一行“shell=explorer.exe load.exe -dontrunold”，则改为“shell=explorer.exe”

　　5、在硬盘区的根目录下寻找Admin.DLL文件，如果在根目录下存在该文件，则删除它

　　6、打开“控制面板|用户和密码”，将Administrator组中的guest帐号删除

　　7、把C盘的完全共享取消掉

　　8、搜索整个硬盘，把所有readme.eml的文件删除，这时在你没有对系统进行免疫修复前，请不要点击任何readme.eml文件，用ctrl+A选取全部readme.eml文件，删除掉，如果单击了单个readme.eml文件，NIMDA病毒病毒将利用你的系统漏洞重新运行。

　　Win9X/Me的手工清除方法

　　1、重启操作系统进入到安全模式

　　2、删除系统temp文件夹中文件长度为57344的文件

　　3、删除系统System文件夹中的长度为57344字节的Riched20.DLL文件及load.exe

　　4、打开System.ini文件，在[load]中如果有一行“shell=explorer.exe load.exe -dontrunold”，则改为“shell=explorer.exe”

　　5、把C盘的完全共享取消掉

　　6、搜索整个硬盘，把所有readme.eml的文件删除，这时在你没有对系统进行免疫修复前，请不要点击任何readme.eml文件，用ctrl+A选取全部readme.eml文件，删除掉，如果单击了单个readme.eml文件，NIMDA病毒病毒将利用你的系统漏洞重新运行。

　　尽管这时候你已经清除了NIMDA病毒病毒，但是如果你不对你的系统进行免疫修复的话，你很快会受到新的NIMDA病毒病毒攻击，因为NIMDA病毒病毒的传播复制能力非常强，所以只有你的系统还存在漏洞，你就十分有可能重新再感染上NIMDA病毒病毒，所以天网安全实验室推出了NIMDA病毒病毒免疫方案：

　　1、打上微软官方的补丁SP2

　　微软官方已经就WINDOWS2000系统目前发现的漏洞做了个“十全大补”的补丁，可以弥补绝大部分的win2000漏洞。SP2共100M左右，可以到以下网址下载：

　　http://www.microsoft.com/windows2000/downloads/critical/q269862/default.asp

　　这个补丁恐怕对大多数用户来说是不可能的，100M的文件下载实在太慢了。

　　2、使用天网个人版防火墙的修补程序

　　在天网个人版防火墙中，提供了包括IE漏洞的天网安全检测修补系统，可以检查出WINDOWS中严重的系统漏洞，并自动修复它。目前的天网个人版(测试版)中所带的漏洞检测与修复系统已经可以检查和修复NIMDA病毒病毒赖以传染和传播的IE浏览器漏洞，所以对于防护NIMDA病毒病毒而言，是一个不可多得的顺手工具。经过了漏洞检测与修复系统修复之后的系统，NIMDA病毒病毒就无法直接在用户的机器上自动运行了。

　　天网防火墙的下载地址：www.sky.net.cn

　　另外建议将WSH(Windows Scripting Host)功能删除可预防此类病毒的破坏。

　　其步骤是：

　　"开始"-<"设置"-<"控制面版"-<"添加删除程序"-〉"WINDOWS按装程序"-〉"附件"，在"组件"中的"Windows scripting Host"(约占空间1.1MB)，去掉选择，选"确定"即可，不过这样可能会影响一些功能。

　　对于个人用户，能过天网个人版防火墙的漏洞检测修复即可以一劳永逸的免疫掉readme.eml的侵害，在修复漏洞，这个病毒就无法自动运行，它将弹出运行窗口，这时你不要运行它即可以避免侵害。但对于服务器来说，还需要一些操作。

　　天网安全试验室正在密切关注NIMDA病毒病毒，并提醒广大用户迅速修补其系统漏洞，以避免给NIMDA病毒病毒的入侵造成可趁之机，天网安全阵线已经为NIMDA病毒病毒的防治制作了专题，用户可以登陆天网安全阵线(www.sky.net.cn)寻找更多NIMDA病毒病毒的解决方法。

Trackback: http://tb.blog.csdn.net/TrackBack.aspx?PostId=3536