荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: gxdx (俾人偷o左个心), 信区: Virus
标 题: 转
发信站: 荔园晨风BBS站 (Sun Nov 4 15:27:13 2001), 转信
2001年11月3日20:37 新华网
前不久大面积流行、肆虐一时的“中国一号”(尼姆达)“I-WORM/CHINA-1”
(Ni
mda)网络蠕虫病毒,各大反病毒软件厂商都已出台了防治措施,升级了自己的病
毒库。
目前,该病毒经过改头换面,衍生了几种变种,大有卷土重来之势。
“中国一号”(尼姆达)的变种病毒修改了原来的一些内部错误(BUG),并
对主程
序做了一些改进,目的是防止反病毒软件来查杀。变种病毒体内含有以下的字符串
:Co
ncept Virus(CV) V.6, Copyright(C)2001。
变种蠕虫程序使用了不同的文件名称以及生成文件的大小都与以前不同。与之
前相
比具有如下特征:
病毒仍然针对WINDOWS 9X/ME、WINDOWS NT、WINDOWS 2000操作系统进行传染
。
当打开含有病毒邮件时,病毒利用病毒体内VBt代码在本地的可执行性(通过
Windo
ws t Host进行),对当前计算机进行感染和破坏。即,一旦我们将鼠标箭头移到
带有病
毒体的邮件名上时,就能受到该网络蠕虫的感染。这种传染机制是利用的是
OUTLOOK的漏
洞,传染能力很强。在此之前,反病毒专家先前早已预料过、微软的信件浏览器非
常脆
弱,漏洞很严重,很快就会出现许多针对其弱点而具有高超传染能力的病毒。“中
国一
号”(尼姆达)就是针对微软信件浏览器的弱点和WINDOWS NT/2000、IIS的漏洞而
编写
出的一种传播能力极强的病毒。
较前相比,变种病毒的附件文件由原来的readme.exe修改为Sample.exe,文件
的大
小是:57344字节。释放的DLL文件名称由admin.dll变成了Httpodbc.dll,原来拷
贝到W
INDOWS的SYSTEM目录下的文件是Mmc.exe,修改后成为了Csrss.exe文件。
变种网络蠕虫的破坏表现是感染Html、nws、.eml、.doc、.exe等文件,并将
大部分
文件破坏或替换。病毒是利用系统中的Email地址发送病毒本身,其附件长度约为
79225
字节,但打开看时,其长度为0,该文件实际上就是病毒本身。
在局域网中,该病毒会自动将受感染的机器中的C盘共享,使得外部的用户可
以访问
系统目录,而同时该病毒还可以建立一个guest访问的用户而且该用户的权限是系
统管理
员级别的。
病毒对系统文件SYSTEM.INI进行了修改:[boot]shell=explorer.exe load.
exe -d
ontrunold,这样在系统每次启动时该病毒就会传染,驻留内存。
病毒利用IIS5.0的漏洞,上传ADMIN.DLL在C:\、D:\...并修改用户的主页,在
主页
后加了一个链接README.EML。感染的电脑均不断生成一个个随机文件名的eml文件
,病毒
还在C:\INETPUB\ts或WINDOWS\TEMP目录中不断复制为TFTP00X.DAT的文件,其字节
数为
:57344字节。
变种病毒有以下4种传播方式:
1.通过EMAIL发送在客户端看不到的邮件附件程序Sample.exe,该部分利用了微
软的
OE信件浏览器的漏洞;
2.通过网络共享的方式来传染给局域网络上的网络邻居,我们在网络上使用电
脑时
,建议不设置完全的不使用密码的共享方式,设置密码可以有效的防止该病毒的传
播;
3.通过没有补丁的IIS服务器来传播,该传播往往是病毒屡杀不绝的原因;
4.通过感染普通的文件来传播,在这一点上和普通的病毒程序相同。
实际上(1)和(3),我们普通的用户只有将微软的补丁程序打上,才能有效预防
,这是
我们日常工作的习惯性的问题,或者说是病毒利用了人们在使用中的疏忽。该微软
漏洞
补丁程序的下载地址在:
http://www.microsoft.com/technet/security/bulletin/ms00-078.asp
微软升级的OUTLOOK的MIME漏洞补丁程序的下载地址:
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
病毒的清除:
1如果用户的硬盘分区是WINDOWS NI4、WINDOWS 2000、WINDOWS XP的NTFS格式
,请
用户安装KVW3000 5.0以上版本,该版本可在任何WINDOWS系统下杀除内存和被
WINDOWS已
经调用的染毒文件,可在系统染毒的情况下杀除病毒,目前只有KVW3000真正具备
内存杀
毒和毒中杀毒这一技术。
方法是:双击桌面上KVW3000的快捷图标,调出菜单即可。
2如果用户硬盘装的系统是WINDOWS 98以下,也可使用干净DOS软盘启动机器;
3执行KV3000.EXE或KVD3000,查杀所有硬盘,查到病毒体时会先问你要删除吗
?
请按“Y”键删除病毒体。其它被感染的文件,如.EXE文件, KV3000.EXE或
KVD3000
会将病毒体从文件中清除,保留原文件,而有的杀毒软件只会将其删除。
4在SYSTEM.INI文件中将LOAD.EXE的文件改掉,如没有变,就不用改。正常的
[boot
]下的应该是shell=explorer.exe.必须修改该文件中的shell项目,否则清除病毒
后,系
统启动会提示有关load.exe的错误信息。
5为了预防该病毒在浏览该带毒信笺可以自动执行的特点,必须下载微软的补
丁程序
。
地址是:
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp.这样
可以
预防此类病毒的破坏。
6、WINDOWS 2000如果不需要可执行的CGI,可以删除可执行虚拟目录,例如
/ts等等
。
7、如果确实需要可执行的虚拟目录,建议可执行虚拟目录单独在一个分区
8、对WINDOWS NT/2000系统,微软已经发布了一个安全补丁,可以从下列地址
下载
:
http://www.microsoft.com/technet/security/bulletin/ms00-078.asp.
9、病毒被清除后,在windows的system目录下的文件riched20.dll将被删除,
请从W
INDOWS的安装盘上或再无毒机中拷贝一份干净的无病毒的该文件,否则的话,写字
板和
OFFICE, WORD等程序将不能正常运行。
10开启KVW3000实时监测病毒防火墙。
11、再将邮箱中的带毒邮件一一删除,否则又会重复感染。
再次提醒广大用户该病毒传播能力极强,必须加强防范。拥有KV3000的用户可
在江
民公司的网站www.jiangmin.com下载最新的病毒库进行升级。(来源:人民网)
--
深夜一点,还有飞机从英东楼的楼顶呼啸而过。它不知道我在这个凌晨的瞬间里,
对着
小小的屏幕发呆,回想,哭泣。
※ 来源:·BBS 水木清华站 smth.org·[FROM: 202.204.7.234]
--
▌ ╰╯ ∞ ∞ ╰╯ ▔▔▔▔▔▔▔▔▔▔ █║║
▊ ▌
0m
▍ ║ ●◣ ︶ ◢● ║ 我要乘着风的翅膀飞翔 风清雅
筑 ▋
◥ ║ ●◢☆◣◢δ◣● ║ 和天上的白云一起 ~*
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.0.188]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店