北京江民新科技术有限公司病毒快速反应小组近日捕获了名为I-WORM/CHINA-1#“中国一号”(Nimda,尼姆达)网络蠕虫。
病毒特性
病毒传染Windows 9x/Me/2000。
当浏览含有I-WORM/CHINA-1#“中国一号”病毒邮件时,病毒利用病毒体内VBScript代码在本地的可执行性(通过Windows Script Host进行),对当前计算机进行感染和破坏。一旦我们将鼠标箭头移到带有病毒体的邮件名上时,就会被感染。病毒的破坏性相当于“欢乐时光”和“蓝色代码”病毒的合力。
病毒破坏性
1、病毒传染NWS、EML、DOC、EXE等文件。
2、病毒还找出E-mail地址发送病毒本身,即附件长度为79225字节,但打开看时,其长度为0。
3、病毒还对System.ini进行修改,这样在系统每次启动时该病毒就会传染,驻留内存。
4、病毒利用IIS 5.0的漏洞,上传病毒文件,并修改用户的主页。感染的电脑均不断生成随机文件名的EML文件。
5、病毒还在C:\INETPUB\Scripts目录中不断复制Tftp00x.dat的文件,其长度为:57344字节。
传播方式
首要的传播途径是通过E-mail;还可以通过共享的磁盘分区来感染别的机器;试图将病毒文件本身拷贝到没有安装微软补丁的Web服务器上;同时还可以感染本地磁盘上的文件以及本地的局域网络上的其他机器上的文件。
病毒的清除
1、使用干净DOS软盘启动机器。
2、执行KV3000.EXE或KVD3000, 查杀所有硬盘,删除病毒体。其他被感染的文件,KV3000.EXE或KVD3000会将病毒体从文件中清除,保留原文件。
3、在System.ini文件中将Load.exe的文件恢复为正常。正常的[boot]下的应该是shell=explorer.exe.必须修改该文件中的shell项目,否则清除病毒后,系统启动会提示有关load.exe的错误信息。
4、开启实时监测病毒防火墙。
5、为了预防该病毒在浏览该带毒信笺可以自动执行的特点,请下载微软的补丁程序。
网址是:http://www.microsoft.com/technet/security/bulletin/MS01-020.asp。
6、Windows 2000如果不需要可执行的CGI,可以删除可执行虚拟目录,例如/scripts等等。如果确实需要可执行的虚拟目录,建议将可执行虚拟目录单独放在一个分区。
7、对Windows NT/2000系统,微软已经发布了一个安全补丁,可以从下列地址下载:http://www.microsoft.com/technet/security/bulletin/ms00-078.asp。
Windows NT/2000系统的NTFS硬盘分区患有此毒时,处理比较烦琐。因用DOS软盘引导后不认硬盘分区。可采用如下方法杀毒:
1、找一无毒的并装有Windows NT/2000系统的机器,将KVW3000安装到硬盘中。
2、将染毒的硬盘挂接在无毒的机器上作为副盘。
3、用无毒的主盘引导机器后,调用KVW3000或KVD3000查杀副盘中的病毒。
杀毒方法如上所述。
该病毒传播能力极强,必须加强防范。广大电脑用户可在江民公司的网站上下载最新版本的KV3000系列可防杀该病毒。网址:http//www.jiangmin.com。
|
