9,506
社区成员
发帖
与我相关
我的任务
分享这是何种病毒?
单位的win98机器全用局域网联在一起,
跟中石化的局域网也相通,最近WIN98机上
传染上一种病毒,所有盘符都被改成共享方式,
用office还报告内存不足,常出毛病,
这是何种毒,是怎样传染的?
跟中石化的局域网也相通,最近WIN98机上
传染上一种病毒,所有盘符都被改成共享方式,
用office还报告内存不足,常出毛病,
这是何种毒,是怎样传染的?
...全文
请发表友善的回复…
发表回复
qf_ok 2001-10-23
- 打赏
- 举报
杀、杀、杀......
qf_ok 2001-10-22
- 打赏
- 举报
再给你一个忠告,不要把局域网内的机器共享~~~
qf_ok 2001-10-22
- 打赏
- 举报
尼姆达病毒,楼上的兄弟说的很清楚了,不需要我再多嘴了~~~
BCB 2001-09-24
- 打赏
- 举报
!
Wingsun 2001-09-21
- 打赏
- 举报
哈哈,我差点就中招了,还好我及时控制住了。
bcboy 2001-09-21
- 打赏
- 举报
我公司昨天的杀毒方法:统一时间,断开网线,用金山专杀工具一台一台杀,多杀几遍,
全部杀完后再联网,目前未再发现。
不过work好象得重装。
全部杀完后再联网,目前未再发现。
不过work好象得重装。
TR@SOE 2001-09-21
- 打赏
- 举报
这是NIMDA病毒的表现。我单位用InnoculateIT 5.25个人版可以安全清除。
警告之一:千万不要用金山毒霸的早期版本去杀!它会莫名其妙地将你的SYSTEM.INI改到面目全非!
警告之二:杀毒要多杀几次。
警告之三:最好将机器与网断开后杀,然后杀一台,联一台。
警告之一:千万不要用金山毒霸的早期版本去杀!它会莫名其妙地将你的SYSTEM.INI改到面目全非!
警告之二:杀毒要多杀几次。
警告之三:最好将机器与网断开后杀,然后杀一台,联一台。
BCB 2001-09-21
- 打赏
- 举报
微软windows的肉洞太多,那么多补丁谁分得清呀,真烦人!
BCB 2001-09-21
- 打赏
- 举报
一、Nimda黑客蠕虫病毒情况简介
肆虐全球的 CodeRed 红色代码蠕虫病毒的余波尚未平息,各网管还未来得及松一口气,又一种破坏力极强的新病毒已经开始象野火一样开始在互联网上蔓延开来,这种名为Nimda "尼姆达"的病毒于18日上午9:08被发现,半小时之内就传遍了世界,其传播范围和破坏程度将大大超过前一段时间极度肆虐的"红色代码"病毒。 据冠群金辰反病毒监测网的报告,我国各地均有病毒的感染案例,由于此病毒能通过多种方法攻击Win32系统,一种方法不行它会尝试另外一种方法攻击,直至成功,其攻击对网络造成的通信阻塞是空前的。目前已有多家报告因受此病毒攻击,造成网络瘫痪,其危害性不言而喻。
那么,这种病毒是通过何种手段造成如此巨大的破坏呢? 这个名为Nimda "尼姆达"的蠕虫病毒与以往的蠕虫病毒有很大不同,它可通过三种方式传播:Email附件、HTTP、硬盘共享,并且能感染所有32位Windows操作系统:Windows 98/Me, NT,2000, XP。
这种新病毒也是利用运行于视窗NT或视窗2000上的微软互联网服务器软件存在的安全隐患展开攻击,这一点与"红色代码"病毒相同,但它同时也可以感染客户端。即用户在浏览染毒的网页时就可能会受到感染。此病毒还通过Ooutlook,Outlook Express邮件客户端传播,会在用户访问带毒的邮件时在用户毫不知晓的情况下感染用户的系统,这一点又与前一段时间流行的邮件蠕虫病毒Happytime很相似。此外,它对系统共享也作了手脚,为每个盘符创建网络共享。在 Win9x/ME系统上,该共享被设置为完全共享,无需密码。在WinNT/2K系统上,GUEST用户被赋予管理员权限,并得到共享权限。在网络共享这一方面,又与Funlove病毒相似。
从上面的分析可以看到,此新病毒集各家之所长,从多方面利用了系统的漏洞,所以该种黑客蠕虫病毒的危害性非常大,并且来势汹汹,事实上这种黑客蠕虫病毒已经远远超越了反病毒的范畴,而且从最近病毒爆发的情况来看,这种病毒代表了未来病毒的发展趋势。通过单一的防病毒产品很难解决Nimda及未来的各种类似病毒,治理Nimda们需要一个完善的安全解决方案。
二、整体解决方案
当务之急是我们要先解决和防御Nimda带来的破坏,另外我们需要比以往任何时候都要重视网络安全的问题,通过构建自身有效的安全防御系统来亡羊补牢、防患于未然。 解决然眉之急--Nimda的清查方案 可按照如下步骤手动清毒:
1,从微软网站
http://www.microsoft.com/technet/security/bulletin/ms00-078.asp和http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
下载相应补丁并执行,然后关闭本机的所有共享。
2,按ctrl-alt-del,结束 "xxx.tmp.exe"以及"Load.exe"的进程。
3,删除temp目录中的文件。
4,用干净的 Riched20.DLL(大约100k)文件替换染毒的同名Riched20.DLL文件(57344字节)。
5,删除系统目录下的load.exe文件(57344字节),windows根目录下的mmc.exe文件,在C:\、D:\、E:\三个逻辑盘的根目录下如果有Admin.DLL文件,删除这些文件,查找文件名为Readme.eml的文件,删除它。
6, System.ini文件[load]中如果有一行"shell=explorer.exe load.exe -dontrunold",改为"shell=explorer.exe"
7, 删除HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Network\LanMan\ 和HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\MapMail\ 的键值。
8, 如果是WinNT或者Win2000,打开"控制面板|用户和密码",将Administrator组中的guest帐号删除。 KILL的最新病毒特征码28.06已可查杀此病毒。
三、防患于未然--整体安全方案
1、从最近几次病毒的大规模爆发可看到,它们的肆虐主要是利用了系统的漏洞,如这次Nimda就利用了Microsoft Web Folder Transversal漏洞(W32/CodeBlue病毒也使用了此漏洞)和 Microsoft incorrect MIME Header 漏洞。它还利用了W32/CodeRed.c蠕虫创建的后门。如果服务器的安全性足够高,不存在可利用的安全漏洞和隐患的话,Nimda和未来的Nimda们则没有发作或传播的可能性。所以我们根治Nimda和类似黑客蠕虫病毒的方法是提高服务器系统本身的安全性,我们建议使用冠群金辰公司的eTrust Policy Compliance定期扫描操作系统以及数据库系统的安全漏洞及错误配置,加强系统安全性,以做到事先预防,而不是事后的"亡羊补牢"。
2、在网络的关键网段中部署冠群金辰公司的eTrust Intrusion Detection(入侵监测),可提供主动的网络保护,自动探测网络流量中可能涉及潜在入侵、攻击和滥用的模式,并且在系统受到影响之前根据预定义策略采用适当的措施,实现对网络的安全监控和保护。该软件在CodeRed病毒流行时就对发现、定位病毒源及采取相应措施方面立下了汗马功劳。
北京冠群金辰软件有限公司
肆虐全球的 CodeRed 红色代码蠕虫病毒的余波尚未平息,各网管还未来得及松一口气,又一种破坏力极强的新病毒已经开始象野火一样开始在互联网上蔓延开来,这种名为Nimda "尼姆达"的病毒于18日上午9:08被发现,半小时之内就传遍了世界,其传播范围和破坏程度将大大超过前一段时间极度肆虐的"红色代码"病毒。 据冠群金辰反病毒监测网的报告,我国各地均有病毒的感染案例,由于此病毒能通过多种方法攻击Win32系统,一种方法不行它会尝试另外一种方法攻击,直至成功,其攻击对网络造成的通信阻塞是空前的。目前已有多家报告因受此病毒攻击,造成网络瘫痪,其危害性不言而喻。
那么,这种病毒是通过何种手段造成如此巨大的破坏呢? 这个名为Nimda "尼姆达"的蠕虫病毒与以往的蠕虫病毒有很大不同,它可通过三种方式传播:Email附件、HTTP、硬盘共享,并且能感染所有32位Windows操作系统:Windows 98/Me, NT,2000, XP。
这种新病毒也是利用运行于视窗NT或视窗2000上的微软互联网服务器软件存在的安全隐患展开攻击,这一点与"红色代码"病毒相同,但它同时也可以感染客户端。即用户在浏览染毒的网页时就可能会受到感染。此病毒还通过Ooutlook,Outlook Express邮件客户端传播,会在用户访问带毒的邮件时在用户毫不知晓的情况下感染用户的系统,这一点又与前一段时间流行的邮件蠕虫病毒Happytime很相似。此外,它对系统共享也作了手脚,为每个盘符创建网络共享。在 Win9x/ME系统上,该共享被设置为完全共享,无需密码。在WinNT/2K系统上,GUEST用户被赋予管理员权限,并得到共享权限。在网络共享这一方面,又与Funlove病毒相似。
从上面的分析可以看到,此新病毒集各家之所长,从多方面利用了系统的漏洞,所以该种黑客蠕虫病毒的危害性非常大,并且来势汹汹,事实上这种黑客蠕虫病毒已经远远超越了反病毒的范畴,而且从最近病毒爆发的情况来看,这种病毒代表了未来病毒的发展趋势。通过单一的防病毒产品很难解决Nimda及未来的各种类似病毒,治理Nimda们需要一个完善的安全解决方案。
二、整体解决方案
当务之急是我们要先解决和防御Nimda带来的破坏,另外我们需要比以往任何时候都要重视网络安全的问题,通过构建自身有效的安全防御系统来亡羊补牢、防患于未然。 解决然眉之急--Nimda的清查方案 可按照如下步骤手动清毒:
1,从微软网站
http://www.microsoft.com/technet/security/bulletin/ms00-078.asp和http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
下载相应补丁并执行,然后关闭本机的所有共享。
2,按ctrl-alt-del,结束 "xxx.tmp.exe"以及"Load.exe"的进程。
3,删除temp目录中的文件。
4,用干净的 Riched20.DLL(大约100k)文件替换染毒的同名Riched20.DLL文件(57344字节)。
5,删除系统目录下的load.exe文件(57344字节),windows根目录下的mmc.exe文件,在C:\、D:\、E:\三个逻辑盘的根目录下如果有Admin.DLL文件,删除这些文件,查找文件名为Readme.eml的文件,删除它。
6, System.ini文件[load]中如果有一行"shell=explorer.exe load.exe -dontrunold",改为"shell=explorer.exe"
7, 删除HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Network\LanMan\ 和HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\MapMail\ 的键值。
8, 如果是WinNT或者Win2000,打开"控制面板|用户和密码",将Administrator组中的guest帐号删除。 KILL的最新病毒特征码28.06已可查杀此病毒。
三、防患于未然--整体安全方案
1、从最近几次病毒的大规模爆发可看到,它们的肆虐主要是利用了系统的漏洞,如这次Nimda就利用了Microsoft Web Folder Transversal漏洞(W32/CodeBlue病毒也使用了此漏洞)和 Microsoft incorrect MIME Header 漏洞。它还利用了W32/CodeRed.c蠕虫创建的后门。如果服务器的安全性足够高,不存在可利用的安全漏洞和隐患的话,Nimda和未来的Nimda们则没有发作或传播的可能性。所以我们根治Nimda和类似黑客蠕虫病毒的方法是提高服务器系统本身的安全性,我们建议使用冠群金辰公司的eTrust Policy Compliance定期扫描操作系统以及数据库系统的安全漏洞及错误配置,加强系统安全性,以做到事先预防,而不是事后的"亡羊补牢"。
2、在网络的关键网段中部署冠群金辰公司的eTrust Intrusion Detection(入侵监测),可提供主动的网络保护,自动探测网络流量中可能涉及潜在入侵、攻击和滥用的模式,并且在系统受到影响之前根据预定义策略采用适当的措施,实现对网络的安全监控和保护。该软件在CodeRed病毒流行时就对发现、定位病毒源及采取相应措施方面立下了汗马功劳。
北京冠群金辰软件有限公司
BCB 2001-09-21
- 打赏
- 举报
是的,Nimda
jhere 2001-09-21
- 打赏
- 举报
尼姆达 |殺|
yuyulily 2001-09-21
- 打赏
- 举报
应该是Nimda(尼姆达)病毒
金山公司已经发布了专门杀它的工具,可以去下栽
留下E_MAIL我给你发去也可以
金山公司已经发布了专门杀它的工具,可以去下栽
留下E_MAIL我给你发去也可以
mxp 2001-09-21
- 打赏
- 举报
对,毒霸够狠,它杀我机器上概念病毒的时候就把大量exe给k掉了,搞得我的机器许多东西用不了!
Firing_Sky 2001-09-21
- 打赏
- 举报
也可能是中国一号
这些东西不要轻易的用毒霸杀,他会把染毒文件全部删除的,可怕
这些东西不要轻易的用毒霸杀,他会把染毒文件全部删除的,可怕
Jneu 2001-09-21
- 打赏
- 举报
gz
Firing_Sky 2001-09-21
- 打赏
- 举报
估计是CodeRed2或者是大名鼎鼎的Nimda(尼姆达)病毒
http://www.kill.com.cn/maindoc/news/trends/trends01-9-19.stm
http://www.kill.com.cn/maindoc/news/trends/trends01-9-19.stm
