论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2003-01-31 15:30 |只看该作者 |倒序浏览

摘要：一种正式名称为“W32/Nimda@MM”的新型蠕虫病毒正在Internet上四处传播，许多用户已经受到了该病毒的感染。Microsoft正在会同防病毒公司和其它安全专家对这种病毒进行分析研究。如果您还没有安装相应的软件升级或补丁，您的计算机可能会感染上这种病毒。

您应该采取的操作

最终用户

为防止计算机通过e-mail渠道被感染，请用以下产品之一升级您的Internet Explorer：

Microsoft 安全公告（Security Bulletin） MS01-020提供的补丁程序

Internet Explorer 5.01 Service Pack 2.
http://www.microsoft.com/windows/ie/downloads/recommended/ie501sp2/default.asp

Internet Explorer 5.5 Service Pack 2.
http://www.microsoft.com/windows/ie/downloads/recommended/ie55sp2/default.asp

Internet Explorer 6
http://www.microsoft.com/windows/ie/downloads/ie6/default.asp

系统管理员

防止系统感染上红色代码II（Code Red II）蠕虫病毒，并且使用我们提供的工具修复已被该病毒感染的系统。（Code Red II病毒会在系统中留下“后门”，而Nimda病毒会利用这个“后门”）
通过应用或安装任何一种以下产品，消除“Web Server Folder Traversal”漏洞：
应用Microsoft Security Bulletin MS00-057中提供的补丁程序
应用Microsoft Security Bulletin MS00-078中提供的补丁程序
应用Microsoft Security Bulletin MS00-086中提供的补丁程序
应用Microsoft Security Bulletin MS00-026中提供的补丁程序
应用Microsoft Security Bulletin MS01-044中提供的补丁程序
安装Windows 2000 Service Pack 2
安装Windows NT 4.0 Security Roll-up Package
以默认模式安装IIS Lockdown Tool
以默认的规则集安装URLScan工具
通过关闭所有计算机的权限防止病毒通过文件共享进行传播
附加信息

病毒的正式名称为W32/Nimda@MM，但是该病毒通常还被叫做“Nimda”蠕虫病毒。它会试图通过以下三种不同的方式进行传播：

Email：受感染的计算机会尝试通过e-mail发送病毒副本来传染其它用户。

Web服务器：受感染的计算机会尝试通过寻找已经受到破坏的Web服务器或利用已知的IIS服务器漏洞来传染其它的Web服务器。

文件共享：受到感染的计算机会对系统进行搜索，试图找到一个被配置为允许任何人向其中添加文件的共享文件夹。如果找到这样的一个文件夹，它将向其中写入受感染的文件。

Email

蠕虫病毒会利用在Microsoft Security Bulletin MS01-020中讨论过的安全漏洞将自身藏在邮件中，并向其他用户发送一个病毒副本来进行传播。正如在公告中所描述的那样，该漏洞存在于Internet Explorer之中，但是可以通过e-mail来利用。只需简单地打开邮件就会使机器感染上病毒 — 并不需要您打开邮件附件。

防病毒厂商正在开发能检测和清除病毒邮件的升级扫描工具。但是即使使用了这些工具，您也必须应用IE的补丁或安装IE的升级版本来消除这个漏洞。那些已经安装了上面所列出的IE升级程序的用户不会因为邮件而受到病毒的感染。

Web 服务器

该病毒攻击IIS 4.0和5.0Web服务器，它主要通过两种手段来进行攻击：第一，它检查计算机是否已经被Code Red II病毒所破坏，因为Code Red II病毒会创建一个“后门”，任何恶意用户都可以利用这个“后门”获得对系统的控制权。如果Nimda 病毒发现了这样的机器，它会简单地使用Code Red II病毒留下的后门来感染机器。第二，病毒会试图利用“Web Server Folder Traversal”漏洞来感染机器。如果它成功地找到了这个漏洞，病毒会使用它来感染系统。

可以使用工具来删除Code Red II蠕虫病毒留下的后门。但是，最好的做法是按照上面步骤1中的指示，一并防止受到Code Red II病毒的感染。

文件共享

病毒传播的最后一种手段是通过文件共享来进行传播。Windows系统可以被配置成允许其他用户读写系统中的文件。允许所有人都可以访问您的文件会导致很糟糕的安全性，而且默认情况下，Windows系统仅仅允许授权用户访问系统中的文件。然而，如果病毒发现系统被配置为其他用户可以在系统中创建文件，它会在其中添加文件来传播病毒。您可以使用Microsoft个人安全顾问（Personal Security Advisor）来检查您的系统是否存在错误的共享配置

更多资源

Microsoft将继续对病毒进行研究，并将根据研究结果提供升级信息。与此同时，您可以从以下资源获取相应的附加信息：

·CERT Coordination Center （http://www.cert.org/current/current_activity.html#port80）
·Symantec Security Response （http://www.sarc.com/avcenter/venc/data/w32.nimda.a@mm.html）
·Network Associates
（http://vil.nai.com/vil/virusSummary.asp?virus_k=99209）