病毒簡介
發現: 2001 年 9 月 18 日
更新: 2007 年 2 月 13 日 11:46:19 AM
別名: W32/Nimda@MM 【McAfee】, PE_NIMDA.A 【Trend】, I-Worm.Nimda 【Kaspersky】, W32/Nimda-A 【Sophos】, Win32.Nimda.A 【Computer Associ
類型: Worm, Virus
感染長度: 57,344 bytes
受感染的系統: Microsoft IIS, Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
CVE 參考: CVE-2000-0884 CVE-2001-0154
詳述
由於該電子郵件例程是在其最初 10 天休眠期後重新激活的,Symantec 尚未發現該病毒的活動性有任何明顯增加。
W32.Nimda.A@mm 是一種群發郵件蠕蟲,它利用多種方式進行自身傳播。此病毒的名稱來自於“admin”一詞的顛倒拼寫。此蠕蟲通過電子郵件方式傳送自身、搜尋公開的網路共享並嘗試將自已複製到未修補過的或已存在攻擊弱點的 Microsoft IIS Web 伺服器上。此病毒既感染本地檔案,也感染遠程共享網路檔案。
此蠕蟲使用 Unicode Web Traversal 缺陷。有關此缺陷的詳細信息及運行 Windows NT 4.0 Service Packs 5 和 6a、Windows 2000 Gold 或 Service Pack 1 作業系統的計算機的修補程式,請參閱 http://www.microsoft.com/technet/security/bulletin/ms00-078.asp。
藉助電子郵件到達後,蠕蟲就會使用 MIME 缺陷,該開發功能允許在閱讀或預覽檔案時執行病毒。有關此缺陷的詳細信息和修補程式,請參閱 http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
如果訪問一個已感染病毒的 Web 伺服器,會被提示下載擴展名為 .eml (Outlook Express) 的電子郵件檔案,此檔案以附屬檔案形式包含蠕蟲。可以在 Internet Explorer 的 Internet 安全區域選擇禁用“檔案下載”來防止此種危害。
蠕蟲也將在受感染的計算機上創建公開的網路共享,以便允許訪問系統。在此過程中,蠕蟲將用管理員許可權創建來賓帳戶。
刪除工具
Symantec 安全回響中心已公布了一個刪除 W32.Nimda.A@mm 所引起的病毒感染的工具。請到此處下載該工具。
病毒定義
可以通過 LiveUpdate 或從此處下載病毒定義。
Symantec 解決方案
Symantec 提供許多保護和防止感染 W32.Nimda.A@mm 病毒的解決方案。單擊這裡(英文)可以查看 Symantec 提供的有關如何解決 W32.Nimda.A@mm 病毒以及類似的“混合威脅”的建議。
與 Macintosh 用戶相關的信息:
雖然 Macintosh 計算機不會感染此蠕蟲病毒,但是蠕蟲會通過 Macintosh 的電子郵件將其傳遞到 Windows 計算機。同樣,如果與 Windows 計算機共享一個網路,蠕蟲也會將病毒檔案放入 Macintosh 計算機的硬碟。有關詳細信息,請參閱文檔 Macintosh 是否受 Nimda 病毒的影響?(英文)
針對 Novell 用戶的信息
Novell 伺服器不會受到此病毒的直接攻擊,但是在 Windows 下運行的 Novell 客戶機可以訪問 Novell 伺服器,並在伺服器上執行病毒檔案(使用登錄腳本或其它手段),這樣便可以更進一步地傳播病毒。
注意:Microsoft 已在 NT 4.0 SP5 中為 IIS 4.0 發布了累積的更新修補程式,同時也在更高版本中為 IIS 5.0 發布了全部安全修補程式。可以在 http://www.microsoft.com/technet/security/bulletin/MS01-044.asp 找到此修補程式。
Microsoft 已在以下網站提供了有關此病毒的信息:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/topics/nimda.asp
Norton AntiVirus
Norton AntiVirus 是全球最值得信賴的防病毒解決方案。它可以在不中斷您工作的情況下自動修復常見的病毒感染。通過 Internet 可以很容易自動更新病毒定義。即使在病毒定義更新期間,Symantec 獨有的禁止腳本技術也可通過標識和停止基於腳本的新病毒(如 “IloveYou”)來防禦快速移動執行緒。為了保護您的 PC 並防止其將病毒傳播給您的朋友或同事,Norton AntiVirus 對接收和傳送的郵件都要進行掃描和清除。並且為了即時訪問最需要的功能,它被集成到 Windows 資源管理器中。如果您還沒有防病毒軟體,請使用 Symantec 的獲獎產品 Norton AntiVirus 2002 來防止計算機感染蠕蟲和病毒。
Norton AntiVirus 企業版
Norton AntiVirus 企業版在桌面和檔案伺服器層面上提供最佳的、多平台的面向企業範圍的病毒防護。數字免疫系統是與 IBM® 合作開發兩年的結晶,可以提供智慧型後端服務和獨有的自動回響機制。閉環自動控制是一種回響功能,它可以分析和部署經過質檢的抗病毒代碼,其速度比病毒傳播的速度要快。即使是面對病毒廣泛傳播期間異常大量的需求,Symantec 的可升級後端結構也能確保快速傳輸實現完全保護所需的病毒定義。
Norton AntiVirus 網關版
Norton AntiVirus 網關版在 SMTP 網關處掃描壓縮檔案,自動檢測電子郵件附屬檔案(包括數量幾乎不受限制的擴展名,如 ZIP、UUENCODE 和 MIME 格式)中的病毒。由於也對常見壓縮格式檔案內的檔案進行掃描和修復,所以 Norton AntiVirus 網關版可以有效地防禦隱藏在壓縮檔案中的病毒。使用集成的搶先防病毒功能,管理員可以在得到抗病毒代碼前阻止新的和未知的病毒運行,從而防止病毒進入機構發作。
Norton AntiVirus Lotus Notes 版
Norton AntiVirus Lotus Notes/Domino 版為 Lotus Notes/Domino 資料庫(其中包括 Lotus Domino R5)提供穩定、可靠的病毒保護。它為管理員提供了最全面的和自動的保護,用以抵禦新的和已知的病毒,防止資料庫感染病毒,並且可以自動掃描和修復 Notes 郵件和資料庫文檔中的檔案附屬檔案和嵌入式 OLE 對象。高效率增加的掃描可將對網路性能的影響降至最低。由於管理員在發現新病毒時無需重新安裝掃描引擎,所以會明顯降低軟體所有人的總擁有成本。由於所有操作都可在 Notes 客戶端完成,所以 Norton AntiVirus 易於使用。
Norton AntiVirus Microsoft Exchange 版
Norton AntiVirus 2.5 Microsoft Exchange 版可以自動檢測並刪除 Exchange 伺服器上的新舊病毒,提供最全面的自動病毒防護。採用 Microsoft 最新的病毒掃描 API,Norton AntiVirus Microsoft Exchange 版將同時對電子郵件正文和附屬檔案進行掃描,在儘可能縮小對網路性能影響的同時提供最有力的病毒防護。由於管理員在添加新病毒定義時無需重新安裝掃描引擎, Norton AntiVirus 將明顯地降低軟體所有人的總擁有成本。
Norton Internet Security
Norton Internet Security 是 Symantec 的集成在線上安全組件。Norton Internet Security 組件包括 Norton AntiVirus、Norton Personal Firewall、Norton Privacy Control 以及 Ad Blocking。通過 LiveUpdate 可以方便地更新組件(如最新的病毒定義、防火牆規則等等),這樣可確保 Norton Internet Security 持續地為用戶的計算機提供安全防護。
Symantec Desktop Firewall
Symantec Desktop Firewall 是易於使用且侵入可能性最小的解決方案,可以保護遠程用戶免受黑客攻擊,還可以保護企業網路不受後門程式的攻擊。此解決方案部署迅速並在後台工作,以監視入站和出站通信。遠程安裝能力和與主要 VPN 兼容的特性使其成為遠程通信安全的主要解決方案。
Symantec Enterprise Firewall
Symantec Enterprise Firewall 和 Raptor Firewall 將通過適當的配置對 HTTP 的請求和回響進行分析,以確保其與 Requests for Comments (RFC) 中定義的 Web 協定相一致。這一機制有效禁止了許多常見的利用違反協定實施的攻擊。另外,可將 Symantec Enterprise Firewall/Raptor Firewall 6.5 或更高版本配置為在規則中使用 URL 模式匹配以禁止對特定 Web 伺服器平台的定量威脅。
Symantec VelociRaptor
VelociRaptor 是一個單機架單元高 (1RU) 的即插即用工具,用於確保完全控制進入和離開網路的信息。其先進的數據檢查技術可過濾通信,並且將套用級的代理、網路系統分析和數據包篩選集成到網關安全結構中。為了禁止訪問私人網路和保密信息,VelociRaptor 將套用完全檢查掃描技術以確保在協定堆疊的全部七個級別(包括套用代理在內)對數據進行了驗證。
Symantec Enterprise Security Manager (ESM)
Symantec Enterprise Security Manager 是依從並基於主機攻擊弱點的、可升級的安全策略評估工具。可使用此工具檢測運行 IIS 伺服器的系統,檢測具有 Web Directory Traversal Vulnerability 的系統,還可通過其快照技術檢測已修改檔案、新建檔案和已刪除檔案。也可以檢測在註冊表中的其它修改,這在套用法醫分析法時有用。如果在企業中尚未配置 ESM,雖然在修復由類似 W32.Nimda.A@mm 這種廣泛傳播的病毒造成危害時作用有限,但 ESM 減輕感染下一種 W32.Nimda.A@mm type 類型蠕蟲危險的能力很強,原因是它會強制執行好的慣例,例如:標識不適當的修補級別、不需要的服務以及不安全的密碼。單擊這裡可以查看在 Windows NT 和 Windows 2000 上針對 Nimda 的 Enterprise Security Manager 安全回響中心政策。
Symantec NetRecon
Symantec NetRecon 是具有根目錄問題分析能力的網路攻擊弱點評估掃描器。Symantec NetRecon 可以檢測正在運行 Web 服務(特別是 Microsoft IIS)的系統,還會檢測具有 Web Directory Traversal Vulnerability 的系統。
Symantec NetProwler
NetProwler 是 Symantec 提供的基於網路的入侵檢測工具,它可以連續、透明地監視網路中的誤用或濫用模式。如果安裝了 Security Update 8,NetProwler 將檢測運行於網路上的 CodeRed 蠕蟲及其變體。 NetProwler 日誌檔案將會標識受 W32.Nimda.A@mm 蠕蟲感染的每個系統。NetProwler 還可通過審閱日誌檔案內容指出網路上第一台感染蠕蟲病毒的主機,此線索可以作為法醫分析法的輔助信息。
Symantec Intruder Alert
Intruder Alert 是基於主機的入侵檢測工具,它可以檢測未經授權的和惡意的活動,從而防止對系統、應用程式和數據安全誤用和濫用。Intruder Alert 的 FileWatch 功能可以監視和檢測對關鍵任務檔案的任何更改、刪除或移動,這些改變可能是感染 W32.Nimda.A@mm 後進行未經授權的訪問而導致的。此外,Intruder Alert 還提供可以開發自定義規則的工具,此規則可將已感染/已更改的檔案還原為原始檔案。Intruder Alert 還能監視系統的可疑行為,如安裝 Rootkit 或 DDoS 代理、創建帳戶或其它修改。Intruder Alert 可通過跨網路方式來集中管理日誌檔案,從而有助於法醫分析法對已感染系統的分析。
Symantec Web Security
Symantec Web Security 通過對病毒、惡意代碼以及不適當的 Web 內容進行一次性、高性能的掃描,來保護在 HTTP/FTP 網關處的 Web 通信。若要將基於列表的技術與啟發式和上下文敏感式分析相結合,以便儘可能地確保系統免受已知和未知郵件以及與業務無關的 Web 站點的威脅,這是唯一的解決方案。
防護
* 病毒定義(每周 LiveUpdate™) 2001 年 9 月 18 日
* 病毒定義(智慧型更新程式) 2001 年 9 月 18 日
威脅評估
廣度
* 廣度級別: Low
* 感染數量: More than 1000
* 站點數量: More than 10
* 地理位置分布: Medium
* 威脅抑制: Moderate
* 清除: Moderate
損壞
* 損壞級別: Medium
* 大規模傳送電子郵件: Uses MAPI to send itself as Readme.exe (Readme.exe may not be visible as an attachment in the email received).
* 修改檔案: Replaces multiple legitimate files with itself.
* 降低性能: May cause system slowdown.
* 危及安全設定: Opens the C drive as a network share.
分發
* 分發級別: High
* 附屬檔案名稱: README.EXE (This file may not be visible as an attachment in the email received).
* 附屬檔案大小: 57344
* 連線埠: 69
* 共享驅動器: Opens network shares.
* 感染目標: Attempts to infect unpatched IIS servers.
通過 Web 伺服器的方式感染
W32.Nimda.A@mm 試圖感染未修補過的 Microsoft IIS Web 伺服器。在 Microsoft IIS 4.0 和 5.0 上,可能會創建一個 URL,此 URL 將導致 IIS 定位至包含 Web 資料夾結構的邏輯驅動器上任何所需的資料夾,並且訪問其中的檔案。有關此缺陷的詳細信息和修補程式,請參閱 http://www.microsoft.com/technet/security/bulletin/ms00-078.asp。
成功地利用 Directory Traversal Vulnerability 缺陷可以讓攻擊者有能力安裝並運行代碼,並且可以在已感染的伺服器上添加、更改或刪除檔案及網頁。原始攻擊弱點的局限性包括以下內容:
1. 伺服器配置。該攻擊弱點僅允許訪問與 Web 資料夾在同一邏輯驅動器上的檔案。例如,如果 Web 管理員將伺服器配置為作業系統檔案安裝在 C 驅動器,而 Web 資料夾安裝在 D 驅動器上,則攻擊者將無法通過此攻擊弱點來訪問作業系統檔案。
2. 攻擊者必須以互動方式登錄到伺服器。
3. 所獲得的許可權僅為本地登錄用戶的許可權。此攻擊弱點只會允許惡意用戶對 IUSR_machinename 帳戶的內容進行操作。
然而,通過採用 W32.Nimda.A@mm 蠕蟲作為輸送機制,攻擊者便能遠程攻擊那些具有攻擊弱點的 IIS 伺服器。一旦攻擊成功,無論 IIS 伺服器安裝在哪個驅動器上,蠕蟲都會在目標伺服器上創建一個具有管理員許可權的本地帳戶。蠕蟲採用目錄橫越技術訪問位於沒有修補過的 IIS 伺服器上的 cmd.exe 檔案。該蠕蟲也會試圖利用此前已感染過 CodeRed II 病毒的伺服器來進行傳播,並且會通過此伺服器的 Inetpub/scripts 目錄訪問 root.exe 檔案。
注意:如果 Norton AntiVirus 實時保護程式在 Inetpub/scripts 資料夾中檢測到“TFTP34%4.txt”之類的檔案感染了 W32.Nimda.A@mm 病毒,則此計算機此前可能已感染過 CodeRed II 病毒。建議下載並執行 CodeRed 刪除工具以確保已經清除了 CodeRed II 病毒對系統的威脅。單擊這裡可以找到該工具。
此蠕蟲使用隨機生成的 IP 地址搜尋 Web 伺服器。利用 Unicode Web Traversal 缺陷,蠕蟲通過 TFTP 以 admin.dll 的方式將自已複製到 Web 伺服器。已被感染的計算機將創建一個偵聽 TFTP 的伺服器(連線埠 69/UDP)來傳輸蠕蟲的副本。
然後,此檔案將在 Web 伺服器上執行,並被複製到多個站點。除此缺陷之外,蠕蟲還試圖利用位於遠程可執行 Web 目錄中的 root.exe 或 cmd.exe 檔案來開發已感染的 Web 伺服器。
然後,蠕蟲將嘗試通過添加 JavaScript 來修改名為 default、index、main 或 readme 的檔案,或擴展名為 .htm、.html 及 .asp 的檔案。JavaScript 會讓打開已感染頁面的訪問者收到由蠕蟲創建的 Readme.eml 檔案。Readme.eml 是一個將蠕蟲作為附屬檔案的 Outlook Express 電子郵件檔案。此電子郵件會利用 MIME 缺陷。因此,計算機可能因瀏覽已感染病毒的網頁而輕易地感染病毒。
系統修改
蠕蟲會在執行時確定其執行的位置。然後蠕蟲將改寫 \Windows 資料夾中的 mmc.exe 檔案,或在 Windows 臨時資料夾中創建自已的副本。
蠕蟲隨後會感染執行檔,以 .eml 和 .NWS 檔案格式創建自已並將自已以 riched20.dll 的形式複製到本地驅動器上含有 .doc 檔案的資料夾內。蠕蟲將按在下列註冊表鍵中所列出的路徑來搜尋檔案:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\App Paths
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\Shell Folders
蠕蟲通過修改下列 System.ini 檔案來鉤連繫統:
Shell = explorer.exe load.exe -dontrunold
它也會替換 Riched20.dll 檔案。Riched20.dll 是由諸如 Microsoft Word 這樣的程式使用的合法 Windows .dll 檔案。通過替換此檔案,每執行一次 Microsoft Word 這樣的程式,就會同時執行一次蠕蟲。
蠕蟲也會將自已註冊為服務進程或將自己作為遠程執行緒添加到 Explorer 進程中。這樣,即使用戶沒有經常登錄,蠕蟲也會繼續執行。
蠕蟲會作為下列檔案複製自已:
%Windows\System%\load.exe
注意:%Windows\System% 是變數。蠕蟲將找到 \Windows\System 資料夾(默認位置為 C:\Windows\System),並將自己複製到此位置
接下來,蠕蟲將通過修改下列註冊表鍵,為計算機上的所有驅動器創建公開的網路共享:
HKLM\Software\Microsoft\Windows\
CurrentVersion\Network\LanMan\【C$ -> Z$】
要使這些設定生效必需重新啟動計算機。
蠕蟲通過枚舉網上鄰居以及利用隨機生成的 IP 地址來搜尋網路上所有公開的共享。蠕蟲會檢查公開的網路共享中的所有檔案,檢查是否可以感染這些檔案。除 winzip32.exe 以外,所有 .exe 檔案都將被蠕蟲感染。
然後,蠕蟲將 .eml 和 .nws 檔案複製到公開的網路共享,並將自己作為 Riched20.dll 檔案複製到所有包含 .doc 檔案的資料夾中。
蠕蟲還將更改資源管理器的設定,使其不顯示隱藏檔案及已知檔案的擴展名。
蠕蟲將在 Guests 組和 Administrators 組中添加一個 Guest 用戶。這將把管理許可權賦予來賓帳戶。另外,蠕蟲還會積極地將 C$ = C:\ 共享,此共享無需重新啟動計算機。
群發郵件程式
Nimda 包含一個每隔 10 天便會執行的群發郵件例程。蠕蟲首先通過搜尋電子郵件地址來開始此例程。蠕蟲將搜尋本地系統中 .htm 和 .html 檔案內的電子郵件地址。蠕蟲還會使用 MAPI 來遍歷任何兼容 MAPI 的電子郵件客戶機中的全部郵件。所有支持 MAPI 的電子郵件客戶機都可能受到影響,其中包括 Microsoft Outlook 和 Outlook Express。蠕蟲將採用這些電子郵件地址作為“收件人:”和“發件人:”地址。因此,從受感染計算機發出的郵件的發件人地址將顯示為 Nimda 所找到的地址,而不是受感染計算機的用戶地址。
蠕蟲使用其自已的 SMTP 伺服器傳送電子郵件,並使用所配置的 DNS 項來獲取郵件伺服器記錄(MX 記錄)。
通過電子郵件接收蠕蟲時,蠕蟲會使用一個舊的已知 MIME 缺陷自動執行。如果系統已針對此缺陷進行過修補,那么蠕蟲將無法使用 Microsoft Outlook 或 Outlook Express 執行自己。有關此缺陷的詳細信息,請參閱 http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
感染執行檔
蠕蟲也將試圖感染 .EXE 檔案。首先,蠕蟲會檢查檔案是否已受到感染。如果檔案未受到感染,蠕蟲將在臨時目錄中複製自已。受感染的檔案將被嵌入到此副本內。然後,受感染的檔案會覆蓋此新檔案,將原來乾淨的檔案替換為受感染的版本。受感染的執行檔約為 57344 位元組。當執行受感染的檔案時,蠕蟲將把原始的乾淨檔案取出放到臨時檔案中,並與自已一同執行。因此,您可能不會注意到執行檔已受感染。
在執行期間,蠕蟲將嘗試刪除其副本。如果檔案正在使用或已鎖定,蠕蟲將創建一個 Wininit.ini 檔案,此檔案中帶有重新啟動時刪除其自身的命令項。
感染檔案時,蠕蟲將在 Windows 臨時資料夾中創建下列兩個臨時檔案:
* mep【nr】【nr】【letter】【nr】.TMP.exe
* mep【nr】【nr】【letter】【nr】.TMP
兩個檔案都將被隱藏並都具有系統屬性設定。
下面列出了此蠕蟲所用的連線埠。應當注意到這些全都是標準連線埠。
TCP 25 (SMTP) -- 用於將電子郵件傳送到目標地址,郵件地址從受感染的客戶機處獲得。
TCP 69 (TFTP) -- 為了對 admin.dll 檔案進行 TFTP 傳輸而打開連線埠 69/udp,以感染 IIS。作為此協定的一部分,它讓傳出連線來傳輸檔案。
TCP 80 (HTTP) -- 使用此連線埠確定存在攻擊弱點的 IIS 伺服器。
TCP 137-139,445 (NETBIOS) -- 在蠕蟲的傳輸中使用。
另外,蠕蟲會監測帶有一列特定位元組的連線,然後打開一個在傳入連線請求中所指定的連線埠。此連線埠可以在任何範圍內。
蠕蟲含有編程錯誤,並且可能導致資源緊張。因此,並非所有操作都能出現,而且系統不穩定也是可以注意到的。
建議
賽門鐵克安全回響中心建議所有用戶和管理員遵循以下基本安全“最佳實踐”:
* 禁用並刪除不需要的服務。 默認情況下,許多作業系統會安裝不必要的輔助服務,如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除,混合型威脅的攻擊途徑會大為減少,同時您的維護工作也會減少,只通過補丁程式更新即可完成。
* 如果混合型威脅攻擊了一個或多個網路服務,則在套用補丁程式之前,請禁用或禁止訪問這些服務。
* 始終安裝最新的補丁程式,尤其是那些提供公共服務而且可以通過防火牆訪問的計算機,如 HTTP、FTP、郵件和 DNS 服務(例如,所有基於 Windows 的計算機上都應該安裝最新的 Service Pack)。. 另外,對於本文中、可靠的安全公告或供應商網站上公布的安全更新,也要及時套用。
* 強制執行密碼策略。 複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。
* 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件,這些檔案常用於傳播病毒。
* 迅速隔離受感染的計算機,防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。
* 教育員工不要打開意外收到的附屬檔案。 並且只在進行病毒掃描後才執行從網際網路下載的軟體。如果未對某些瀏覽器漏洞套用補丁程式,那么訪問受感染的網站也會造成病毒感染。
Symantec 安全回響中心已公布了一個刪除由 W32.Nimda.A@mm 引起的病毒感染的工具。請到此處下載該工具。
注意:一旦計算機已遭到 W32.Nimda.A@mm 病毒攻擊,可能已有未授權的用戶對該系統進行了遠程訪問。因此,將無法保證已受感染系統的完整性。遠程用戶可能已對該系統進行了更改,這些更改包括但不限於下列操作:
* 盜取或更改密碼或密碼檔案
* 安裝遠程連線主控程式,也稱後門程式
* 安裝擊鍵記錄軟體
* 配置防火牆規則
* 盜取信用卡號碼、銀行信息以及個人數據等等
* 刪除或修改檔案
* 從客戶的電子郵件帳戶傳送不適當的或甚至連累客戶的材料 * 修改用戶帳戶或檔案的訪問許可權
* 刪除日誌檔案的信息以隱藏此類活動
如果需要確保機構安全,則必須重新安裝作業系統,用感染病毒之前的備份還原檔案,並且更改可能已在受感染計算機上的所有密碼或通過它們可訪問到的所有密碼。這是確保系統安全的唯一方法。有關機構安全的詳細信息,請與系統管理員聯繫。
手動刪除指導
如果無法獲取刪除工具,或者刪除工具在您的環境下不能工作,請執行下列操作:
1. 運行 LiveUpdate 以確保具有最新的病毒定義。
2. 請執行下列任一操作:
* 如果運行的是 Windows NT/2000/XP,請跳到步驟 3。
* 如果運行的是 Windows 95/98/Me,請根據以下指導編輯 System.ini 檔案:
1. 單擊“開始”,然後單擊“運行”。
2. 鍵入以下內容,然後單擊“確定”:
edit c:\windows\system.ini
MS-DOS 編輯器打開。
注意:如果 Windows 安裝在其它位置,請替換為相應路徑。
3. 找到以 shell=\ 開頭的行
4. 將游標直接放到等號的右邊。
5. 按 Shift+End 鍵選擇等號右邊的所有文本,然後按 Delete 鍵。
6. 鍵入以下文本:
explorer.exe
此行現在顯示為:
shell=explorer.exe
注意:除 Explorer.exe 之外,有些計算機在 shell= 之後可能還有另一項。如果是這種情況,且正在運行備用 Windows 命令解釋器,請立即將此行更改為 shell=explorer.exe。可在完成此過程之後將其改回首選的命令解釋器。
7. 單擊“檔案”,並單擊“退出”,當提示是否保存更改時,單擊“是”。
3. 重新啟動計算機。
注意:當計算機重新啟動時,很可能會找到已被感染的檔案。建議您嘗試修復已受感染的檔案。請將不可修復的所有檔案隔離。
4. 啟動 Norton AntiVirus (NAV),確保將 NAV 配置為掃描所有檔案。有關如何配置的說明,請參閱如何配置 Norton AntiVirus 以掃描所有檔案。
5. 使用 NAV 掃描系統。有關如何用 NAV 進行掃描的說明,請參閱文檔“如何掃描病毒”。
6. 對於每個檢測為已感染 W32.Nimda.A@mm 或 W32.Nimda.A@mm (html) 病毒的檔案,請選擇“修復”。隔離所有無法修復的檔案。
7. 對於每個檢測為已感染 W32.Nimda.A@mm (dr)、W32.Nimda.enc 或 W32.Nimda.A@mm (dll) 病毒的檔案,請選擇“刪除”。
8. 從備份中還原 Admin.dll 和 Riched20.dll 檔案,如果必要也可通過 Microsoft Windows 或 Office .cab 檔案來還原這兩個檔案。
9. 刪除不必要的共享。
10. 從 Administrators 組中刪除 Guest 帳戶(如果可行)。
Windows Me/XP 中的系統還原選項
Windows Me/XP用戶應該暫時關閉系統還原功能。此功能默認情況下是啟用的,一旦計算機中的檔案遭到破壞,Windows 可使用此功能將其還原。如果計算機感染了 蠕蟲、病毒或特洛伊木馬程式,則它們也有可能已經被備份。默認情況下,Windows 會防止外來程式對系統還原功能進行修改。因此,刪除工具的任何修復嘗試都將失敗。若要解決此問題,必須禁用系統還原,然後重新啟動計算機。此操作將清除 _RESTORE 資料夾的內容。然後必須再次運行刪除工具。
* 如何禁用或啟用 Windows XP 系統還原
* 如何禁用或啟用 Windows Me 系統還原
如何提取 Riched20.dll 檔案
如果在啟動諸如 Microsoft Word 這樣的程式時出錯,或者無法啟動程式,需要提取 Riched20.dll 檔案。(另外,也可以選擇重新安裝作業系統和受影響的程式。)
請參閱作業系統的相應指導。
注意:這些指導是為了方便用戶而提供的,它們適用於大多數計算機。有關提取檔案(包括可能已損壞的 Windows 檔案)的詳細信息,請參閱下列信息之一:
* 如果正在使用 Microsoft Outlook 2002 或 Microsoft Office 2002,有一個較容易的方法。如果先將 Riched20.dll 檔案重命名,這些程式將能夠自己替換此檔案。有關如何執行此操作的指導,請參閱 Microsoft Knowledge Base 文檔“OL2002: Outlook Stops Responding with Riched20.dll Error Messages”(文章 ID:Q291651)。
* Microsoft Knowledge Base 文檔“How to Extract Original Compressed Windows Files”(文章 ID:Q129605)
* 如何在 Windows 98 和 Windows Me 中提取檔案。
Windows 95/98
請在 DOS 提示符下使用 Extract 命令。請根據所用作業系統的指導執行下列操作。
注意
o 需要一張 Windows 98/Me 啟動盤。(如果作業系統為 Windows 95,則仍需一張在 Windows 98/Me 計算機上創建的啟動盤)。有關如何創建啟動盤的指導,請參閱文檔“如何創建 Windows 啟動盤”。
o 準備好 Windows 安裝 CD。
o 鍵入命令時,用 CD-ROM 驅動器的驅動器盤符替代字母 x。例如,如果作業系統為 Windows 98 且 CD-ROM 驅動器是驅動器 D,則應鍵入
extract /a d:\win98\win98_28.cab riched20.dll /L c:\windows\system
o 如果 Windows 沒有安裝在 C:\Windows,而是安裝在另一個資料夾中,請在命令的最後一部分(引用 \Windows 資料夾)中,用適當的路徑或資料夾名稱進行替換。
o 有關使用 Extract 命令的詳細指導,請參閱 Microsoft 文檔“How to Extract Original Compressed Windows Files”(文章 ID:Q129605)。
o 還有一種較為容易的方法:如果使用的是 Windows 98 作業系統,則可使用系統檔案檢查器來還原檔案。有關如何執行此操作的信息,請參閱 Windows 文檔。
1. 關閉計算機,關掉電源。關閉計算機後,將 Windows 98/Me 啟動盤插入軟碟驅動器,並重新啟動計算機。在選單中選擇“Start with CD-ROM support”。
2. 鍵入適用於作業系統的命令:
* 如果作業系統為 Windows 98,請鍵入以下命令,然後按 Enter 鍵:
extract /a d:\win98\win98_28.cab riched20.dll /L c:\windows\system
* 如果作業系統為 Windows 95,請鍵入以下命令,然後按 Enter 鍵:
extract /a win95_10.cab riched20.dll /L c:\windows\system
注意:如果出現任何錯誤訊息,請重複步驟 2,確保鍵入的命令是適用於作業系統的正確命令,且與以上顯示的完全一致。否則,鍵入 exit,然後按 Enter 鍵。
Windows NT 4.0
1. 確保 Windows 設定為顯示所有檔案。
2. 搜尋並刪除所有 Riched20.dll 檔案。
3. 再次套用最新的 Service Pack。Service Pack 將用新的副本替換此檔案。
4. 如果在替換了 Riched20.dll 檔案後,Microsoft Word 或 Office 這樣的程式不再運行,或在啟動時出現錯誤訊息,可能必須重新安裝 Microsoft Office。
Windows 2000
如果作業系統為 Windows 2000,其內置程式將查找並替換丟失或損壞的系統檔案。若要替換已損壞的 Riched20.dll 檔案,請執行下列操作:
1. 確保已啟用系統檔案檢查器:
1. 單擊“開始”,然後單擊“運行”。
2. 鍵入 cmd,並單擊“確定”。
3. 鍵入以下內容,然後按 Enter 鍵:
sfc /enable
4. 鍵入 exit,然後按 Enter 鍵。
2. 確保 Windows 設定為顯示所有檔案:
1. 打開 Windows 資源管理器。
2. 單擊“工具”選單,然後單擊“資料夾選項”。
3. 單擊“查看”選項卡。
4. 清除“隱藏已知檔案類型的檔案擴展名”的選中標記。
5. 清除“隱藏受保護的作業系統檔案”的選中標記,並在“隱藏檔案”資料夾下單擊“顯示所有檔案和資料夾”。
6. 單擊“套用”,然後單擊“確定”。
3. 搜尋 Riched20.dll 檔案:
1. 單擊“開始”,將游標指向“查找”或“搜尋”,然後單擊“檔案或資料夾”。
2. 確保將“查找範圍”設定為 (C) 並且選中“包含子資料夾”。
3. 在“名稱”或“搜尋…”框中,鍵入(或複製並貼上)以下檔案名稱:
riched20.dll
4. 單擊“開始查找”或“立即搜尋”。
5. 刪除找到的檔案。
4. 重新啟動計算機。
5. 系統檔案檢查器將替換所有丟失的 Riched20.dll 檔案。如果在替換了 Riched20.dll 檔案後,Microsoft Word 或 Office 這樣的程式不再運行,或在啟動時出現錯誤訊息,可能必須重新安裝 Microsoft Office。
描述者: Eric Chien
