Nimda娜坦病毒清除及防範中毒方式
繼紅色警戒之後,又出現一隻全新攻擊模式的新病毒,正透過相當罕見的三重感染管道在網路上大量散播,包含:電子郵件、網路資源分享及微軟IIS伺服器感染。攻擊範圍包括PC、伺服器,甚至連網站都可能受感染,電腦如果沒有事先防範,進入該網站後,瀏覽器即有可能被傳染,導致其PC中毒。
周二開始爆發傳染的Nimda,又名Readme.exe或W32.Nimda,是首個能同時感染Windows 98、Windows Me、Windows 2000的PC和跑Windows 2000的伺服器的病毒。
該病毒藉由電子郵件附件檔傳播,在Outlook安全環境設定在「低」時,就會自動執行,並開始掃瞄、感染跑微軟IIS軟體的網路伺服器,自動複製到同一網路中的共享磁碟及該網站的附屬Javascripts碼,以便有人瀏覽時伺機載入到瀏覽者的電腦中。 而如果網友並非使用Outlook,Nimda仍然會透過其郵件軟體傳播,但不會自動執行。
目前尚不清楚「Nimda」是否會銷毀儲存的文件檔案或數據資料,但至少已知機器中毒後運轉速度會隨之減緩,同時透過郵件轉寄弁鉔~續荼毒機主通訊錄上的其他友人。由於這種病毒是電子郵件、網站瀏覽兩路並進,因此傳播速度極快。
這隻名為”娜妲”(Troj_Nimda.a)的新病毒的傳播方式迥異於以往,已經引起全球矚目,該病毒的主要破壞行為是透過電子郵件大量散播夾帶名為Readme.exe(讀我)的電子郵件,造成網路頻寬的壅塞,使用者將明顯發現網路的速度變慢。
另外,娜妲病毒會自動尋找網路上的芳鄰及微軟IIS網頁伺服器進行感染,電腦族如果不小心連上中毒網站,將遭病毒感染。如此,將造成一傳十、十傳百的無限迴圈式感染災情。
有下列方式感染Nimda病毒:
1.from client to client via email
2.from client to client via open network shares
3.from web server to client via browsing of compromised web sites
4.from client to web server via active scanning for and exploitation of
the "Microsoft IIS 4.0 / 5.0 directory traversal" vulnerability
(VU #111677)
5.from client to web server via scanning for the back doors left
behind by the "Code Red II" (IN-2001-09), and "sadmind/IIS"
(CA-2001-11) worms
病毒行為:
● Nimda病毒與CodeBlue病毒都是利用Unicode漏洞來感染攻擊IIS Server,並感染*.HTM、*.HTML、
*.ASP檔案,之後持續對其他網站發出攻擊行為。
● User瀏覽中毒網頁會受到感染,用outlook開啟readme.eml檔案,並自動發病毒信。
● 此病毒會透過大量發信來散佈,其信件附帶檔為readme.exe
● 大量的發信與攻擊他人網站,網際網路與區域網路流量大增,將使資料的傳輸緩慢,癱瘓網路的使用。
● 會修改System.ini,讓病毒可以每次開機即啟動。
● 將自己複製到system目錄中,更名為RICHED32.DLL,並開始尋找區域網路中所有*.EXE的檔案,刪除原檔,再複製自己取代原檔案。
● 會將C碟整個目錄共享出來,駭客可以透過遠端電腦監控所有C碟資料。
目前Notron AntiVirus 0918病毒碼 及 Pccillin LPT$941.EXE病毒碼已經可以偵測出是否中娜坦病毒
請使用者盡速下載更新病毒碼! http://virus.thu.edu.tw/病毒碼.htm
判斷自己是否中毒:
1.檢查自己電腦有沒有中毒的最簡單方法:
檢查自己的 system.ini 檔, 若有以下這行就中毒了.
Shell = explorer.exe load.exe -dontrunold
2.或檢查自己電腦有沒有以下檔案, 若有, 表示也中毒了.
c:windowssystemload.exe
P.S. "C:windows" 為系統的安裝目錄, 可能因人而異.
3.直接執行掃毒程式 FIX_NIMD.EXE (以下說明)
解毒方式: [建議直接進入安全模式執行清除程式]
(1) 關閉與停止自己的目錄之"資源分享"也不要去點選任何網路芳鄰中其他人的檔案
(2) 將清除程式 FNIMDA.exe 存放至暫存目錄中並執行這個自動解壓縮程式,此檔會自動解出四個檔案
(3) 關閉防毒軟體的即時掃瞄弁?
(4) 開啟DOS模式,執行清除程式 FIX_NIMD.EXE
(5) 重新啟動電腦.使用防毒軟體(例如賽們鐵克 Norton AntiVirus,或趨勢 pccillin)
掃瞄所有檔案確定病毒是否清除乾淨
(6) 用記事本開啟 C:windowssystem.ini,找到"Shell=" 刪除"load.exe -dontrunold"。
(刪除後應該剩下shell=explorer.exe)
(7) 用記事本開啟 C:windowswin.ini 將load = loader.exe 改成 load =
(刪除後應該剩下load=)
防範方式: [解完毒後並不能確保不再中毒,請確實執行下列幾個步驟,減少中毒危機]
1. IE & IIS 要做 patch
◎ 修正 你的 IE
如果你的IE版本為IE5.5繁體中文版請下載 IE5.5 patch
如果你的IE版本為IE5.01繁體中文版請下載 IE5.01patch
其他請到 http://www.microsoft.com/windows/ie/dow ... ault.asp下載
◎ 修正 IIS 4. 0或 IIS 5.0
(如果是 2000/NT 用戶, 之前"紅色病毒"的patch的機器 , 對現在"藍色病毒"都無效,
照樣感染,因此還要在多安裝上面這個 patch)
http://www.microsoft.com/technet/securi ... 01-044.asp
2. 避免點選outlook內任何含有 .exe, .eml .nws 附檔 Nimda 還是可能藏匿在附加檔
3. 關閉資源分享,不要讓人家可以寫入你的硬碟
不要到網路芳鄰上別人的資源分享目錄中亂點檔案
_________________
I am mimi
icq 13150341
<font size=-1>[ 這篇文章被編輯過: mimis 在 2001-10-22 23:30 ]</font>
我的電腦掛了
版主: Roland、Garnet Wolf、mimis
-
mimis
- 頂級玩家
- 文章: 1633
- 註冊時間: 週日 9月 16, 2001 8:00 am
如何預防、清除紅色警戒(Code Red)病毒
Code Red紅色警戒(別名:TROJ_BADY.A),連日來感染了全球數十萬台以上的電腦,引起廣泛的關切。
Code Red紅色警戒只針對安裝微軟IIS網頁伺服器的作業系統進行感染,包括:Windows NT Server、Windows 2000 Server;如果電腦族使用的是Windows 95/98、Windows ME皆可免疫,不會遭到此電腦蠕蟲的感染。
這些受感染的機器會在特定時間集體攻擊某些網站, Internet也會因此癱瘓。
目前紅色警戒病蟲 (CodeRed.Worm)已出現變種病蟲名為CodeRed.v3(CodeRed.C)。
請使用Win NT,Win2000的使用者,盡速更新修補電腦安全漏洞。
病蟲特徵:
1. 攻擊架在Microsoft NT 上的IIS 4.0、IIS 5.0 及Windows NT,Windows 2000作業系統。
2. 建立超過300個步驟去尋找有弱點的主機,並且自行複製。
病蟲造成的影響:
1. 進行阻絕服務-(Denial of Service)攻擊
2. 駭客能完全地遠程遙控受感染電腦主機
● CodeRed II 清除方法:
1.下載 CodeRed II 清除程式 FixCRed.exe
2.拔掉網路線、關閉所有程式 (包括 Norton AnitVirus防毒程式)
3.執行FixCRed.exe程式(直接點兩下就可執行)
● 預防CodeRed病毒感染方法如下:
處理步驟
步驟一 先拔除網路線,重開機,清除記憶體中的worm
步驟二 下載 Windows 2000 SP2進行安裝
步驟三 下載 Win2000 HotFix修補程式
更新完畢請重新開機,接上網路線!!
參考網址 上面有完整下載喔
http://virus.thu.edu.tw/news/news.htm#code_red
_________________
I am mimi
icq 13150341
<font size=-1>[ 這篇文章被編輯過: mimis 在 2001-10-22 23:23 ]</font>
Code Red紅色警戒(別名:TROJ_BADY.A),連日來感染了全球數十萬台以上的電腦,引起廣泛的關切。
Code Red紅色警戒只針對安裝微軟IIS網頁伺服器的作業系統進行感染,包括:Windows NT Server、Windows 2000 Server;如果電腦族使用的是Windows 95/98、Windows ME皆可免疫,不會遭到此電腦蠕蟲的感染。
這些受感染的機器會在特定時間集體攻擊某些網站, Internet也會因此癱瘓。
目前紅色警戒病蟲 (CodeRed.Worm)已出現變種病蟲名為CodeRed.v3(CodeRed.C)。
請使用Win NT,Win2000的使用者,盡速更新修補電腦安全漏洞。
病蟲特徵:
1. 攻擊架在Microsoft NT 上的IIS 4.0、IIS 5.0 及Windows NT,Windows 2000作業系統。
2. 建立超過300個步驟去尋找有弱點的主機,並且自行複製。
病蟲造成的影響:
1. 進行阻絕服務-(Denial of Service)攻擊
2. 駭客能完全地遠程遙控受感染電腦主機
● CodeRed II 清除方法:
1.下載 CodeRed II 清除程式 FixCRed.exe
2.拔掉網路線、關閉所有程式 (包括 Norton AnitVirus防毒程式)
3.執行FixCRed.exe程式(直接點兩下就可執行)
● 預防CodeRed病毒感染方法如下:
處理步驟
步驟一 先拔除網路線,重開機,清除記憶體中的worm
步驟二 下載 Windows 2000 SP2進行安裝
步驟三 下載 Win2000 HotFix修補程式
更新完畢請重新開機,接上網路線!!
參考網址 上面有完整下載喔
http://virus.thu.edu.tw/news/news.htm#code_red
_________________
I am mimi
icq 13150341
<font size=-1>[ 這篇文章被編輯過: mimis 在 2001-10-22 23:23 ]</font>
-
mimis
- 頂級玩家
- 文章: 1633
- 註冊時間: 週日 9月 16, 2001 8:00 am
紅色警戒的解法大致上是
1. 拔掉網路線 啟動掃紅色警戒程式
把它掃除
2. 重新安裝windows patch
網址為
微軟網站提供最新紅色警戒及Nimda病毒清除及完整patch
*Nimda http://www.microsoft.com/taiwan/support ... /nimda.htm
*紅色警戒 http://www.microsoft.com/taiwan/support ... t/6496.htm
你可以先上去看看喔
希望趕快好起來
1. 拔掉網路線 啟動掃紅色警戒程式
把它掃除
2. 重新安裝windows patch
網址為
微軟網站提供最新紅色警戒及Nimda病毒清除及完整patch
*Nimda http://www.microsoft.com/taiwan/support ... /nimda.htm
*紅色警戒 http://www.microsoft.com/taiwan/support ... t/6496.htm
你可以先上去看看喔
希望趕快好起來
誰在線上
正在瀏覽這個版面的使用者:沒有註冊會員 和 5 位訪客