谨防“尼姆达”蠕虫病毒 刘君 2001年 39期 计算机病毒防治产品检验中心暨国家计算机病毒应急处理中心2001年9月19日晨接到用户报告,发现一种新型计算机病毒,经分析确认,该病毒是昨日在美国发现的尼姆达(Nimda)蠕虫病毒,继红色代码和蓝色代码病毒出现后,一种能够同时感染微软操作系统的服务器和PC机的病毒又被发现,并已经以大量的数据堵塞了Internet通讯,促使FBI(美国联邦调查局)不得不组建一支特别部队来调查遭受袭击的情况。   #1一、攻击的目标系统:   该病毒可以感染Windows 95/98/ME/NT/2000,以及Windows NT/2000的服务器。   #1二、传播方式:   1.通过邮件传播,当用户收到的邮件的正文为空,似乎没有附件,实际上邮件中嵌入了病毒的执行代码,当用户用Outlook、Outlook Express(没有安装微软的补丁包的情况下)收邮件,在预览邮件时,病毒自动执行并且将自身复制到系统临时目录,同时运行临时目录中的副本。   2.利用了IIS的漏洞(Unicode Web Traversal Exploit),采用与“红色代码Ⅱ”和“蓝色代码”类似的方式,通过网络传播。找到目标机,立即在创建具有Administrator权限的Guest账号;同时,在被感染计算机上共享文件夹。   3.通过局域网的共享传播到其他系统,在被感染的计算机继续共享文件夹。   #1三、病毒特征:   如果系统感染W32/Nimda@MM病毒,计算机将出现一种或者几种症状:   1.染此病毒的NT和2000服务器,在WinNT\system32\logfiles\W3SV   C1目录下的日志文件中含有以下内容   GET/scripts/root.exe﹖/c+dir   GET/MSADC/root.exe﹖/c+dir   GET/c/winnt/system32/cmd.exe﹖/c+dir   GET/d/winnt/system32/cmd.exe﹖/c+dir   GET/scripts/..%5c../winnt/system32/cmd.exe﹖/c+dir   GET/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe﹖/c+dir   GET/_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe﹖/c+dir   ……   2.System.ini文件内容被修改   正常情况为:Shell=explorer.exe   感染病毒后变为:Shell=explorer.exe load.exe -dontrunold   3.windows/system目录下存在如下文件load.exe(大小为57344字节)、riched20.dll(大小为57344字节)。   4.硬盘可写中创建后缀为Readme.eml的文件。文件内容中包含   <HTML>   