荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: xhjx (消失几日), 信区: Virus
标 题: 对清除Nimda的一些看法
发信站: 荔园晨风BBS站 (Mon Jan 14 13:32:24 2002), 站内信件
对清除Nimda的一些看法
--摘自网友花自瓢零水自流
------------------------------------------------------------------------
--------
『金山毒霸论坛』 2002年01月14日 10:58:48
最近看到Cemarco、狐狸和Newwolf等朋友都提出了Nimda清除不干净的情况,
我来说说我的一些方法。
Nimda传染方式有五种:
1、邮件传播;
2、文件感染(严格地说应该是PE文件捆绑);
3、局域网传播,复制eml、nws文件,感染网络文件;
4、利用IIS的Unicode漏洞、二次解码漏洞进行传播,利用Microsoft IIS 5.0
系统文件列表漏洞提升自己的权限进行感染(即Admin.dll);
5、利用CodeRedII留下的后门进行感染。
我发现,上述几位朋友情况都相似:Win2000 + IIS。这正是Nimda比较高明的
一招,也是微软公司对它额外重视的原因。
Catmao朋友说过:“在win2k ad server下,nimda是加载在系统进程上的,只
能防御不被感染,一旦感染就不可能杀干净”。其实win2k server只是一个表象,
关键之处在于IIS 5.0。
Nimda通过“IIS 5.0 系统文件列表”漏洞来提升自己的运行权限。这是
MicrosoftIIS 5.0中存在一个安全漏洞,可以导致攻击者提升权限。IIS 5.0有一
个文件列表,所有在这个列表中的程序(一些DLL文件)都会在IIS进程空间中运行
。然而,缺省这个列表中只包含这些文件的文件名,而不是其绝对路径名。因此,
任何可执行文件,如果其文件名与文件名列表中的文件匹配,则当它执行时就会在
IIS进程空间中运行,这使得它以父进程的权限被执行,通常是SYSTEM权限。
"尼姆达"通过结合Unicode以及二次解码漏洞在在目标主机的可执行虚拟目录
下上传一个可执行文件Admin.dll,并远程通过web接口执行它。因为Admin.dll这
个文件名正好在IIS的文件名列表中,所以这个蠕虫就能够以系统最高权限来运行
了。
呵呵,这就是在装了IIS的Win2000计算机上,Nimda总是杀不死的原因 :-)
接下来是解决方案了。在这种情况下,杀Nimda会像杀WantJob一样面临着和系
统作对这一尴尬的问题,所以最好的办法还是拆下你的硬盘,到别的Win2000计算
机上去杀 :-( 如果你不愿动手,你可以试试以下,但不保证万试万灵哦 :-)
1、断网后重启,用本地帐号登陆。因为一般这些利用漏洞主动攻击的病毒是
只驻留内存的。切记重启前把IIS的服务设为Disable。
2、用Nimda专杀工具(金山的或其他厂商的)进行全盘杀毒。
3、打好所有补丁(一个IE的,三个IIS的,或者直接升级到SP2)。
希望各位朋友来发表自己的意见。
--
╱╲
╱╲╱ 那是一个风淡云清的下午 ╱
╱ ╭┄┄┄┄┄┄┄┄┄┄┄┄┄┄╲┄┄┄┄┄┄┄┄┄┄┄┄┄
╱╲ ┊ 我轻轻地对╱着电话那边的你,说:
/╲╱ ╭╯
╰┄┄┄┄╯ Would you like to be my gf?
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.48.234]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店