本文发表在 rolia.net 枫下论坛亲爱的微软用户:
最近有一种正式名称为“W32/Nimda@MM”(简称Nimda)的新型蠕虫病毒正在Internet上四处传播,许多用户已经受到了该病毒的感染。Microsoft正在会同防病毒公司和其它安全专家对这种病毒进行分析研究。如果您还没有安装相应的软件升级或补丁,您的计算机可能会感染上这种病毒。微软(中国)有限公司特提醒您注意防治此种病毒以免遭不必要的损失。
最终用户
如您是Windows 9x/Me和Windows 2000桌面版的最终用户,您应该采取以下操作来防止计算机通过e-mail渠道被感染,请用以下产品之一升级您的Internet Explorer(以下连接可以直接导引您到相应网址):
o Microsoft 安全公告(Security Bulletin)提供的补丁程序http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
o Internet Explorer 5.5 Service Pack 2. http://www.microsoft.com/windows/ie/downloads/recommended/ie55sp2/default.asp
o Internet Explorer 6 http://www.microsoft.com/windows/ie/downloads/ie6/default.asp
系统管理员
如您是Windows 2000服务器的系统管理员,您应该采取以下操作来防止服务器通过Web服务或文件共享服务渠道被感染(以下连接可以直接导引您到相应网址):
1.防止系统感染上红色代码II蠕虫病毒,并且使用我们提供的工具修复已被该病毒感染的系统(Code Red II病毒会在系统中留下“后门”,而Nimda病毒会利用这个“后门”)。http://www.microsoft.com/china/china/security/bestprac/isacored.asp
2.通过应用或安装任何一种以下产品,消除“Web Server Folder Traversal ”漏洞: http://www.microsoft.com/technet/security/bulletin/MS00-078.asp
o 应用Microsoft Security Bulletin MS00-057中提供的补丁程序http://www.microsoft.com/technet/security/bulletin/ms00-057.asp
o 应用Microsoft Security Bulletin MS00-078中提供的补丁程序http://www.microsoft.com/china/security/bestprac/isacored.asp
o 应用Microsoft Security Bulletin MS00-086中提供的补丁程序http://www.microsoft.com/technet/security/bulletin/ms00-086.asp
o 应用Microsoft Security Bulletin MS00-026中提供的补丁程序 http://www.microsoft.com/technet/security/bulletin/ms00-026.asp
o 应用Microsoft Security Bulletin MS01-044中提供的补丁程序 http://www.microsoft.com/technet/security/bulletin/MS01-044.asp
o 安装Windows 2000 Service Pack 2 http://www.microsoft.com/windows2000/downloads/servicepacks/sp2/default.asp
o 安装Windows NT 4.0 Security Roll-up Package http://www.microsoft.com/downloads/release.asp?ReleaseID=31240
o 以默认模式安装IIS Lockdown Tool http://www.microsoft.com/technet/security/tools/locktool.asp
o 以默认的规则集安装URLScan工具 http://www.microsoft.com/technet/security/URLScan.asp
3.通过关闭所有计算机的权限防止病毒通过文件共享进行传播。
若发现异常
如您是Windows 9x/Me和Windows 2000桌面版的最终用户,且发现您的计算机有下列症状之一或全部:
o 计算机运行速度突然变慢,或100%的CPU利用率
o 多个微软管理控制台(Microsoft Management Console)被加载
o 多个命令行窗口被调用
o 多个TFTP可执行文件被加载
o 文件浏览器被反复的加载和卸载
o 许多以.eml为后缀名的文件被创建
请尽快通知您的系统管理员;或使用您在产品注册时得到的用户认证号码来向微软客户服务中心来寻求帮助。
如您是Windows 2000服务器的系统管理员,且发现您所负责的系统有下列症状之一或全部:
o 您的同事向您汇报可疑情况
o 系统网络有可疑且持续的性能下降
o 邮件服务器有可疑且持续的性能下降
请尽快访问微软相关站点来获取相关信息并采取相应措施,或使用您在产品注册时得到的用户认证号码来向微软客户服务中心来寻求帮助。
您也可以致电或传真给微软(中国)有限公司客户服务中心获取补丁程序光盘。电话是010-62617722 传真号码是 010-62536630 请在传真上注明微软客户服务中心Nimda工作组收。
更多信息和相关防治软件可以在如下网址获得:http://www.microsoft.com/china/security/Bulletins/nimda.asp
微软(中国)有限公司
2001年9月22日
附加信息
Nimda蠕虫病毒是什么?
o 正在互联网(Internet)上传播,正式名称为“W32/Nimda@MM”的新型蠕虫病毒
o 试图通过三种不同的方式进行传播
o 似乎只传染Windows 9x/ME,Windows NT4,和Windows 2000三种操作系统
o 版本号5.0或更早期版本的互联网浏览器(Internet Explorer)能被该病毒利用来帮助其传播
o 该病毒所利用的都是已知并有补丁包的系统弱点
通过电子邮件的传播方法
o 用户接受到含有附件名为readme.eml的电子邮件
o 若用户的互联网浏览器(Internet Explorer)存在MS01-020所论述的安全漏洞,当用户打开该邮件时,系统即被感染,甚至无需打开附件
o 该病毒将自身拷贝通过电子邮件发送给其他人,从而实现继续传播的目的
o 该安全漏洞存在于互联网浏览器(Internet Explorer),但是被电子邮件所利用。详情请参照“Incorrect MIME Header Can Cause IE to Execute E-Mail Attachment”
o 该安全漏洞的补钉软件包已经发布了一段时间(发布于2001/3/29)
防病毒厂商正在开发能检测和清除病毒邮件的升级扫描工具。但是即使使用了这些工具,您也必须应用IE的补丁或安装IE的升级版本来消除这个漏洞。那些已经安装了上面所列出的IE升级程序的用户不会因为邮件而受到病毒的感染。
Web 服务器
该病毒攻击IIS 4.0和5.0Web服务器,它主要通过两种手段来进行攻击:
第一, 它检查计算机是否已经被Code Red II病毒所破坏,因为Code Red II病毒会创建一个“后门”,任何恶意用户都可以利用这个“后门”获得对系统的控制权。如果Nimda 病毒发现了这样的机器,它会简单地使用Code Red II病毒留下的后门来感染机器。
第二, 病毒会试图利用“Web Server Folder Traversal”漏洞来感染机器。如果它成功地找到了这个漏洞,病毒会使用它来感染系统。该安全漏洞的补钉软件包已经发布了一段时间(发布于2000/10/17)。
可以使用工具来删除Code Red II蠕虫病毒留下的后门。但是,最好的做法是按照上面步骤1中的指示,一并防止受到Code Red II病毒的感染。
一旦Web服务器被感染,Nimda将把Inetpub目录下后缀名为.HTM,.HTML和.ASP的页面文件加入下列部分:
<html><script language="JavaScript">window.open("readme.eml", null, "resizable=no,top=6000,left=6000")</script></html> (Or similar)
当修改后的文件被访问时,客户端将有一新的浏览器窗口被打开,同时上述的电子邮件的内容被加载。
文件共享
病毒传播的最后一种手段是通过文件共享来进行传播。Windows系统可以被配置成允许其他用户读写系统中的文件。允许所有人都可以访问您的文件会导致很糟糕的安全性,而且默认情况下,Windows系统仅仅允许授权用户访问系统中的文件。然而,如果病毒发现系统被配置为其他用户可以在系统中创建文件,它会在其中添加文件来传播病毒。您可以使用Microsoft个人安全顾问(Personal Security Advisor)来检查您的系统是否存在错误的共享配置
更多资源
Microsoft将继续对病毒进行研究,并将根据研究结果提供升级信息。与此同时,您可以从以下资源获取相应的附加信息:
?InnocuLAN / eTrust
o Info: http://support.ca.com/techbases/ilnt/virusalert2.html
o VirSig: http://support.ca.com/Download/virussig.html
?McAfee / Network Associates / Dr. Solomon
o Info: http://vil.nai.com/vil/virusSummary.asp?virus_k=99209
o VirSig: http://a64.g.akamai.net/7/64/2015/2001-09-18-12-00-00-746/download.nai.com/products/licensed/superdat/english/intel/sdat4160.exe
?Sophos / F-Secure
o Info: http://www.f-secure.com/v-descs/nimda.shtml
o VirSig: http://www.f-secure.com/download-purchase/updates.shtml
?Symantec Norton AntiVirus / IBM AntiVirus
o Info: http://www.symantec.com/avcenter/venc/data/w32.nimda.a@mm.html
o VirSig: http://www.sarc.com/avcenter/defs.download.html
?Trend Micro / PC-cillin
o Info: http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=PE_NIMDA.A
o VirSig: http://www.antivirus.com/download/pattern.asp更多精彩文章及讨论,请光临枫下论坛 rolia.net