簡介
別名: I-Worm.Nimda.e [Kaspersky], PE_NIMDA.E [Trend], Win32.Nimda.E [Computer Associ, W32/Nimda-D [Sophos], W32/Nimda.E@mm [Frisk], Win32/Nimda.E worm [ESET], W32/Nimda.gen@MM [McAfee]
感染長度: varies
受感染的系統: Microsoft IIS, Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
CVE 參考: CVE-2001-0154 CVE-2000-0884
W32.Nimda.E@mm 是 W32.Nimda.A@mm 的一個新版本,其中包含錯誤修復以及其他修改,旨在防止防病毒程式檢測到此變種。
Nimda病毒,即尼姆達病毒,又叫概念(Concept)病毒,是一種通過網路傳播的計算機病毒,它能利用多種傳播途徑對幾乎所有Windows系統作業系統(包括Windows95/98/ME,NT和2000等)發動攻擊。而且染毒的機器會自動向其他機器發動攻擊和傳送帶毒的email,並造成網路堵塞。
* 病毒定義(每周 LiveUpdate™) 2001 年 10 月 29 日
* 病毒定義(智慧型更新程式) 2001 年 10 月 29 日
威脅評估
廣度
* 廣度級別: Low
* 感染數量: More than 1000
* 站點數量: More than 10
* 地理位置分布: High
* 威脅抑制: Moderate
* 清除: Moderate
損壞
* 損壞級別: Medium
* 大規模傳送電子郵件: Emails itself out as Sample.exe
* 降低性能: May cause system slowdown
* 危及安全設定: Creates open network shares
分發
* 分發級別: High
* 電子郵件的主題: varies
* 附屬檔案名稱: Sample.exe (this file may not be visible)
* 附屬檔案大小: varies
* 共享驅動器: Infects open network shares
* 感染目標: Specifically attempts to infect unpatched IIS servers
此蠕蟲在功能上與 W32.Nimda.A@mm 類似。差別在於蠕蟲使用的檔案名稱有所改動
* 收到的附屬檔案已更改為:Sample.exe
* 放入的 .dll 檔案現在為:Httpodbc.dll
* 蠕蟲現在將其自身複製為 \%Windows% 資料夾下的 Csrss.exe 而不是 Mmc.exe
注意:%Windows% 是一個變數。蠕蟲會找到 \Windows 資料夾(默認位置為 C:\Windows 或 C:\Winnt),然後將自身複製到其中。
此外,作者在代碼中引入了新的錯誤。更重要的是,蠕蟲可能反覆感染檔案,從而導致受感染的檔案成倍增加。這樣的檔案可能已被破壞,並且可能需要刪除而不是修復。
注意:Norton AntiVirus 已將受感染的 HTML 檔案檢測為 W32.Nimda.A@mm (html)。
病毒定義
可以使用 LiveUpdate 或從 Symantec 安全回響中心網站下載病毒定義。
防毒工具
Symantec 安全回響中心已發布一個用於殺除由 W32.Nimda.E@mm 導致的感染的工具。請到這裡下載該工具。
建議
賽門鐵克安全回響中心建議所有用戶和管理員遵循以下基本安全“最佳實踐”:
* 禁用並刪除不需要的服務。 默認情況下,許多作業系統會安裝不必要的輔助服務,如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除,混合型威脅的攻擊途徑會大為減少,同時您的維護工作也會減少,只通過補丁程式更新即可完成。
* 如果混合型威脅攻擊了一個或多個網路服務,則在套用補丁程式之前,請禁用或禁止訪問這些服務。
* 始終安裝最新的補丁程式,尤其是那些提供公共服務而且可以通過防火牆訪問的計算機,如 HTTP、FTP、郵件和 DNS 服務(例如,所有基於 Windows 的計算機上都應該安裝最新的 Service Pack)。. 另外,對於本文中、可靠的安全公告或供應商網站上公布的安全更新,也要及時套用。
* 強制執行密碼策略。 複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。
* 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件,這些檔案常用於傳播病毒。
* 迅速隔離受感染的計算機,防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。
* 教育員工不要打開意外收到的附屬檔案。 並且只在進行病毒掃描後才執行從網際網路下載的軟體。如果未對某些瀏覽器漏洞套用補丁程式,那么訪問受感染的網站也會造成病毒感染。
注意:
* 這是一個非常複雜且具有破壞性的威脅。在某些情況下,用 Norton AntiVirus 進行掃描無法完全殺除此病毒。如果檢測到 W32.Nimda.E@mm 的任何變種,強烈建議您先獲得 W32.Nimda.E@mm 防毒工具。
* 如果您在網路上或一直保持與 Internet 的連線,請斷開計算機與網路或 Internet 的連線。在將計算機重新連線到網路或 Internet 之前,或在嘗試進行防毒之前,請先禁用或用密碼保護檔案共享。為確保該蠕蟲被殺除後不會再次感染計算機,Symantec 建議用唯讀訪問或密碼保護進行檔案共享。有關如何完成此操作的指導,請參閱 Windows 文檔或文檔:如何配置共享 Windows 資料夾儘可能的保護網路。
手動防毒
只有在無法獲得防毒工具的情況下才應使用手動防毒。
1. 運行 LiveUpdate,確保您的病毒定義是最新的。
2. 啟動 Norton AntiVirus (NAV),並確保將 NAV 配置為掃描所有檔案。有關如何完成此操作的指導,請參閱文檔:如何配置 Norton AntiVirus 以掃描所有檔案。
3. 運行完整的系統掃描。
4. 刪除被檢測為 W32.Nimda.E@mm (dr) 和 W32.Nimda.enc 的所有檔案,如果需要,用乾淨的備份副本替換這些檔案。對於被檢測為 W32.Nimda.E@mm 和 W32.Nimda.A@mm (html) 的所有檔案,單擊“修復”。
描述者: Eric Chien
