尼姆达病毒

尼姆达病毒(Nimda)是典型的蠕虫病毒，病毒由JavaScript脚本语言编写，病毒通过email、共享网络资源、IIS服务器、网页浏览传播，修改本地来自驱动器上的.htm，握不突离由那宪边.html和.asp文件。此病毒可以使IE和Outlook Express加载产生readme.eml病毒文件。该文件将尼姆达蠕虫作为附件，不需要急模玉拆开或运行这个附件病毒就被执行门诉除各。

• 中文名称 尼姆达病毒
• 外文名称 Nimda
• 类型 蠕虫病毒
• 毒体长度 57344字节
• 传播路径 网络

特征

　　尼姆达来自病毒2001年9360百科月18日在全球蔓延，传播性非常强的恶意病毒。以邮件、主动攻击服务容端器、即时通讯工具、FTP协议、网页浏览传播。能够通过多种传播渠道进行传染。对于个人用户的PC机，"尼姆达"可以通过邮件、网上即时通讯工具和"FTP程序"同时进行传染。对于服务器，"尼姆达"则采用和红色代码病毒相似的途径，即攻击微软服务器程序的漏洞进行传播。由于该病毒在自身传染的过程中占用大量的网络带宽和计算机的内部资源，因此许什改盾跳动多企业的网络受到很大的影响，甚至瘫痪，个人PC机速度也会有明显的下降。

　　尼姆达病毒发送染毒邮件，还会感染EXE文件。当时声称能处指半护甲良整妈除理该病毒的反病毒公司(杀毒软件)都采取删除染毒文件的方式杀毒，导树价致很多重要程序不能运行。

　　W32.Nimda.A@率乐间测执笑静剧建宽mm蠕虫通过多种方式进行传播，流传播手段:

1. 通过email将自己特优集低发送出去。
2. 搜索局域网内共享网络资源。
3. 将病毒文件复制到没有打补丁的微客控宣软(NT/2000)IIS服务器。
4. 感染本地文件和远程网络共享文件。
5. 感染浏览的网页。

感染方式

　　Worms.Nimda运行时，会搜索本地硬盘中和获顺爱岁区团科操的HTM和HTML文件和EXCHANGE邮箱，从中找到EMAIL地址，并发送邮件;搜索网络共享资源，并将病毒邮件放入别人的共享目录中;利用CodeBlue病毒的方法，攻击随机的IP地址，如果是IIS服务器，并未安装补丁，就会感染该病毒。该蠕虫用它自己的SMTP服务器去发出邮件。同时用已经配置好的DNS获得一个mail服务器的地址。

　　Worms.Nimda运行时，会查找本地的HTM/ASP文件，将生成的带毒邮件放入这些文件中，并加入Java积师庆喜次背Script脚本。这样，每当该网页被打开时，就自动打开该染毒的readme.eml。

　　Worms.Nimda感染本地PE文件时，有两种方法，一种是查找所有的Windows应用程序(在HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Currentversion/AppPaths中)，并感染，但不感染WINZIP32.EXE。

　　第二种方法搜索所有文件，并试图感染之。被感染良计哪止针话重降正的的文件会增大约57KB。如果用户游览了一个已经被感染的web页时，就会被提示下载.eml(OutlookExpress)的电子邮件文件，该邮件的MIME头是一个非正常的MIME头，并且它包含一个附件，即此蠕虫。

　　该邮件通过网络共享，Windows的资源管理及积确呼背笑假料拉器中选中该文件，Windows将自动预览该文件，由于OutlookExpress漏洞，导致蠕虫自还下坏香玉另都防象况动运行，因此即使不打开文件，也会感染病毒。当病毒执行，它会在Windows目录下生成MMC.E派布模哥XE文件，并将其属性改为系统、隐藏。病毒会用了跑州九步自己覆盖SYSTEM目录下的Rlched20.DLL，Rlched20.DLL文件是Office套件运行的必备见院频低库，写字板等也要用到自探这个动态库，任何要使用这个动态库的程序启动，就会激活该病毒。病毒将自己复制到system目录植宽后尽斯祖取演实金下，并改名为load.exe，系统每次启动时，自动运行该病毒。病毒会以超级管理员的权限曾限优得建立一个guest的访问帐号，以允许别人进入本地的系统。病毒改变Explorer的设置这样就让它无法显示隐藏文件和已知文件的扩展名。

传播途径

感染文件

　　尼姆达病毒定械社杀费所收此加重明业位系统中exe文件，并将病毒代码置入原文件体内，从而达到对文件的感染，当用户执行这些文件的时候，病毒进行气传播。

邮件乱发

　　尼姆达病毒利用MAPI从邮件的客户端及HTML文件中搜索邮件地址，然后将病毒发送给来自这些地址，这些邮件包含360百科一个名为eadme.exe的附件，系统(NT及win9x未安装相应补丁)中该eadme.exe能够自动执行，从而感染系统。

网络蠕虫

　　尼姆达病毒还会扫描internet，试图找到ww排w(万维网)主机，找到服务器，病毒便会利用已知的系统漏洞来感染该服务器，发送成功，蠕虫将会随机修改该站点的web页，当用户浏览该站点时，便会感染。

局域网

　　尼姆达病毒搜索本地网络的文件共享，文件服务器或终端客户机，安装一个隐藏文件，名为riched20乙.dll到每一个包含doc和eml文件的目录中，当用户通过word、写字板、outlook打开doc或eml文档时，该应用程序将执行riched20.dll文件，从而感染。该病毒还可以感染远程的在服务器被启动的文件。

变种

　　尼姆达Ⅱ(nimda.E)命名为:Worm.Con双细密响占己元谓胶密cept.1187往州非笔84(尼姆达2)。病毒作者在病毒源代码中有一段说明:ConceptVir地阳制学us(CV)V.6,苦孩小来概即福与酸Copyright(C)2001,(This'sCV,NoNimda.)。最后一句话的意思是:"这是概念病毒(CV=ConceptVirus)，不是尼姆达病毒。"

　　在尼姆达病毒基础上改进了附件名Readme.exe改为Sample.exe。感染IIS系统时生成的文件从Admin.dll改为Httpod采错汽刚凯款补bc.dll。在NT/2000及相关系统，病毒拷贝自己到Windows的system目录下，不叫mmc够争般动础失鸡告架消接.exe，而用Csrss.exe的名字。

解决方案

手工清除

1. 打开进程管理器必营非数括道，查看进程列表。结束其中进程名称为"xxx.tmp.exe"以及"Load.exe"的进程(其中xxx为任意文件名)。
2. 切换到系统的TEMP目录，寻找文件长度为57344的文件，删掉它们。
3. 切换到系统的System目录，寻找名称为riched20.dll的文件。
4. 查看riched20.dll的文件大小，系统的正常文件大小应该在100K以上，而Concept病毒的序修赶胡求核村数副本大小为57344字节。
5. 继续在系统的System目录下寻找名称为load.exe、长度为57344字节的文件，删掉它。
6. 在C:\、D:\、E:\三个逻辑盘的根目录下寻找Admin.DLL文件，如果在根目录下存在该文件圆，则删除它
7. 打开System.ini文件，在(load)中如果有一行"shell=explorer县树简编源高革.exeload.exe-dontrunol笔排磁罗d"，则改为"shell=explorer.exe"。
8. 如果是WinNT或者Win2000以及WinXP系统，则打开"控制面板/用户和密码"，将Administrator组中的guest帐号删除。

脱机清除

　　没有网络局域网的距落一企业级用户，没有网络版的反病毒(杀毒软件它类群误晶联击信)，清除作操方法:

1. 热启动导镇，结束此蠕虫病毒的进程。
2. 在系统的temp文件目录下删除病毒文件。
3. 使用无毒的 riched20.dll(约100k)文件替换染毒的同名的riched20.dll文件(57344字节)
4. 将系统目录下的load.exe文件(57344字节)彻底删除以及windows根目录下的mmc.exe文件;要在各逻辑盘的根目录下查找Admin.DLL文件，如果有Admin.DLL文件的话，删除这些病毒文件，并要查找文件名为Readme.eml的文件，也要删除它。
5. 如果用户使用的是Windows NT或Windows 2000的操作系统的计算机，那么要打开"控制面板"，之后打开"用户和密码"，将Administrator组中guest帐号删除。