2001年11月病毒观察

virusview.net

新世纪的第一年并不太平，世贸大厦的倒掉是人类世界的灾难。计算机世界的灾难，也从未停止过，在大家饱受Sircam的折磨之后，新的蠕虫病毒：尼姆达（AVP命名：I-Worm.Nimda）出现了，并且以极快的速度蔓延着。不幸的电子邮件，又一次成为了病毒传播媒体。

据 Kaspersky Labs（俄罗斯著名的反病毒公司），公布的9月份前20大计算机病毒排行显示，尼姆达病毒首次出现在排行榜上就排在了第三位。也有传闻说“尼姆达是中东回教组织为了反制美国，对全球所做的报复攻击” 当然这只是个传闻可信度并不高。不过据估计，尼姆达蠕虫病毒在泛滥的一个月中已感染过全球八百三十万个电脑网络，造成的损失达59亿美元。

现在让我们简单了解一下这个尼姆达的工作机理：

和众多电子邮件蠕虫病毒一样，它主要也是通过大规模发送邮件来传播自己的，不过它还综合了最近几个比较流行的病毒的特性，例如通过搜索公开的网络共享资源，试图复制自己到未打补丁或是已经受攻击的Microsoft IIS web服务器，还能同时感染本地或是远程的网络共享文件。分别利用的是CODEBLUE和Sircam的传播方式，但是它的传播速度将会大大快于以上两种病毒。

该蠕虫随邮件到达后，它利用了一个MIME的漏洞，使用户无论是阅读还是哪怕只是预览邮件都将执行该病毒。该病毒也利用了IIS的Unicode Web Traversal漏洞。虽然至今为止尚未发现它有删除计算机内文件或数据的能力，但由于其极强的传播性和大规模发送邮件导致对受害计算机和网络资源的侵占性，仍然受到了极大的重视。

当在用户收到病毒邮件并将病毒激活后，该病毒会先搜索email地址，再开始大规模发送邮件。它不仅从本地系统的.htm和.html文件中搜索email地址，还使用了MAPI函数读取用户的email并从中读取SMTP地址和email地址。所有支持MAPI的邮件客户端程序（包括Microsoft Outlook和Outlook Express）都将无法幸免。病毒把找到的地址分别填在邮件的To:和From:地址栏上，因此，您如果收到病毒邮件，该邮件的From:地址栏上的邮件地址并不一定是受害者的真实地址。 它使用设置的DNS条目来获得一个邮件服务器纪录（MX纪录）并用来作为发送邮件的SMTP服务器。 接着，它更改浏览器设置，从而不显示隐藏文件和已知的文件扩展名。 然后，它在管理员组中添加guest用户，使guest拥有管理员权限。另外，它还将C盘共享（不需要重启）。

用户在访问被感染的Web服务器时将被提示下载一个.eml（Outlook Express）email文件，该文件的附件就是这个蠕虫病毒。这个.eml文件也是利用的上述的MIME漏洞。用户可以在自己的internet security zones（internet安全区域）禁止文件下载以防被感染。而且，该病毒还在被感染的计算机上创建公开的网络共享，允许对系统的访问。在这个过程中它会创建一个拥有管理员权限的guest账号。这对于一个服务器来说是莫大的威胁。

那么也许有有人更关心的是自己是不是已经被感染了尼姆达？我们可以通过以下几个症状来判断：硬盘根目录上出现了ADMIN.DLL和README.EML文件，或者发现突然出现的公开网络共享。 如果你的机器上出现了上述现象，那么很有可能是中了尼姆达病毒。

至于尼姆达的清除，由于手动清除比较复杂，不适于广大普通用户，我们建议大家升级自己的反病毒软件或者下载专用的尼姆达清除软件。大家可以到我们的病毒观察网站(http://virusview.net)下载 清除尼姆达病毒的专用软件。

本栏目由www.virusview.net病毒观察站和计算机应用文摘杂志合办