尼姆达病毒

尼姆达病毒(Nimda)是典型的蠕虫病毒，病毒由JavaScript脚本语言编写，病毒通过email、共享网络资源、IIS服务器、网页浏览传播，修改本地驱动器上的.htm，.html和.asp文件。此病毒可以使IE和Outlook Express加载产生readme.eml病毒文件。该文件将尼姆达蠕虫作为附件，不需要拆开或运行这个附件病毒就被执行。

基本信息

中文名称

尼姆达病毒

外文名称

Nimda

类型

蠕虫病毒

毒体长度

57344字节

传播路径

网络

目录

1特征

2感染方式

3传播途径

4变种

5解决方案

折叠编辑本段特征

尼姆达病毒2001年9月18日在全球蔓延，传播性非常强的恶意病毒。以邮件、主动攻击服务器、即时通讯工具、FTP协议、网页浏览传播。能够通过多种传播渠道进行传染。对于个人用户的PC机，"尼姆达"可以通过邮件、网上即时通讯工具和"FTP程序"同时进行传染。对于服务器，"尼姆达"则采用和红色代码病毒相似的途径，即攻击微软服务器程序的漏洞进行传播。由于该病毒在自身传染的过程中占用大量的网络带宽和计算机的内部资源，因此许多企业的网络受到很大的影响，甚至瘫痪，个人PC机速度也会有明显的下降。

尼姆达病毒发送染毒邮件，还会感染EXE文件。当时声称能处理该病毒的反病毒公司(杀毒软件)都采取删除染毒文件的方式杀毒，导致很多重要程序不能运行。

W32.Nimda.A@mm蠕虫通过多种方式进行传播，流传播手段:

通过email将自己发送出去。

搜索局域网内共享网络资源。

将病毒文件复制到没有打补丁的微软(NT/2000)IIS服务器。

感染本地文件和远程网络共享文件。

感染浏览的网页。

折叠编辑本段感染方式

Worms.Nimda运行时，会搜索本地硬盘中的HTM和HTML文件和EXCHANGE邮箱，从中找到EMAIL地址，并发送邮件;搜索网络共享资源，并将病毒邮件放入别人的共享目录中;利用CodeBlue病毒的方法，攻击随机的IP地址，如果是IIS服务器，并未安装补丁，就会感染该病毒。该蠕虫用它自己的SMTP服务器去发出邮件。同时用已经配置好的DNS获得一个mail服务器的地址。

Worms.Nimda运行时，会查找本地的HTM/ASP文件，将生成的带毒邮件放入这些文件中，并加入JavaScript脚本。这样，每当该网页被打开时，就自动打开该染毒的readme.eml。

Worms.Nimda感染本地PE文件时，有两种方法，一种是查找所有的Windows应用程序(在HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Currentversion/AppPaths中)，并感染，但不感染WINZIP32.EXE。

第二种方法搜索所有文件，并试图感染之。被感染的文件会增大约57KB。如果用户游览了一个已经被感染的web页时，就会被提示下载.eml(OutlookExpress)的电子邮件文件，该邮件的MIME头是一个非正常的MIME头，并且它包含一个附件，即此蠕虫。

该邮件通过网络共享，Windows的资源管理器中选中该文件，Windows将自动预览该文件，由于OutlookExpress漏洞，导致蠕虫自动运行，因此即使不打开文件，也会感染病毒。当病毒执行，它会在Windows目录下生成MMC.EXE文件，并将其属性改为系统、隐藏。病毒会用自己覆盖SYSTEM目录下的Rlched20.DLL，Rlched20.DLL文件是Office套件运行的必备库，写字板等也要用到这个动态库，任何要使用这个动态库的程序启动，就会激活该病毒。病毒将自己复制到system目录下，并改名为load.exe，系统每次启动时，自动运行该病毒。病毒会以超级管理员的权限建立一个guest的访问帐号，以允许别人进入本地的系统。病毒改变Explorer的设置这样就让它无法显示隐藏文件和已知文件的扩展名。

折叠编辑本段传播途径

折叠感染文件

尼姆达病毒定位系统中exe文件，并将病毒代码置入原文件体内，从而达到对文件的感染，当用户执行这些文件的时候，病毒进行传播。

折叠邮件乱发

尼姆达病毒利用MAPI从邮件的客户端及HTML文件中搜索邮件地址，然后将病毒发送给这些地址，这些邮件包含一个名为eadme.exe的附件，系统(NT及win9x未安装相应补丁)中该eadme.exe能够自动执行，从而感染系统。

折叠网络蠕虫

尼姆达病毒还会扫描internet，试图找到www(万维网)主机，找到服务器，病毒便会利用已知的系统漏洞来感染该服务器，发送成功，蠕虫将会随机修改该站点的web页，当用户浏览该站点时，便会感染。

折叠局域网

尼姆达病毒搜索本地网络的文件共享，文件服务器或终端客户机，安装一个隐藏文件，名为riched20.dll到每一个包含doc和eml文件的目录中，当用户通过word、写字板、outlook打开doc或eml文档时，该应用程序将执行riched20.dll文件，从而感染。该病毒还可以感染远程的在服务器被启动的文件。

折叠编辑本段变种

尼姆达Ⅱ(nimda.E)命名为:Worm.Concept.118784(尼姆达2)。病毒作者在病毒源代码中有一段说明:ConceptVirus(CV)V.6,Copyright(C)2001,(This'sCV,NoNimda.)。最后一句话的意思是:"这是概念病毒(CV=ConceptVirus)，不是尼姆达病毒。"

在尼姆达病毒基础上改进了附件名Readme.exe改为Sample.exe。感染IIS系统时生成的文件从Admin.dll改为Httpodbc.dll。在NT/2000及相关系统，病毒拷贝自己到Windows的system目录下，不叫mmc.exe，而用Csrss.exe的名字。

折叠编辑本段解决方案

折叠手工清除

打开进程管理器，查看进程列表。结束其中进程名称为"xxx.tmp.exe"以及"Load.exe"的进程(其中xxx为任意文件名)。

切换到系统的TEMP目录，寻找文件长度为57344的文件，删掉它们。

切换到系统的System目录，寻找名称为riched20.dll的文件。

查看riched20.dll的文件大小，系统的正常文件大小应该在100K以上，而Concept病毒的副本大小为57344字节。

继续在系统的System目录下寻找名称为load.exe、长度为57344字节的文件，删掉它。

在C:\、D:\、E:\三个逻辑盘的根目录下寻找Admin.DLL文件，如果在根目录下存在该文件，则删除它

打开System.ini文件，在(load)中如果有一行"shell=explorer.exeload.exe-dontrunold"，则改为"shell=explorer.exe"。

如果是WinNT或者Win2000以及WinXP系统，则打开"控制面板/用户和密码"，将Administrator组中的guest帐号删除。

折叠脱机清除

没有网络局域网的企业级用户，没有网络版的反病毒(杀毒软件)，清除作操方法:

热启动，结束此蠕虫病毒的进程。

在系统的temp文件目录下删除病毒文件。

使用无毒的 riched20.dll(约100k)文件替换染毒的同名的riched20.dll文件(57344字节)

将系统目录下的load.exe文件(57344字节)彻底删除以及windows根目录下的mmc.exe文件;要在各逻辑盘的根目录下查找Admin.DLL文件，如果有Admin.DLL文件的话，删除这些病毒文件，并要查找文件名为Readme.eml的文件，也要删除它。

如果用户使用的是Windows NT或Windows 2000的操作系统的计算机，那么要打开"控制面板"，之后打开"用户和密码"，将Administrator组中guest帐号删除。