(云南省地震局信息中心网络部 段洪杰)

一、Nimda病毒通过网络传播：网上邻居、电子邮件、网页浏览、文件传输等。

二、尼姆达病毒传染机制:

　　Nimda病毒不但发送染毒邮件，还会感染EXE文件。Worms.Nimda 是一个新型蠕虫，也是一个病毒，它通过email、共享网络资源、IIS服务器传播。同时，它也是一个感染本地文件的新型病毒。 　　

　　Worms.Nimda运行时搜索本地硬盘中的HTM、HTML文件和EXCHANGE邮箱，从中找到EMAIL地址，并向这些地址发送邮件；搜索网络共享资源，并试图将带毒邮件放入别人的共享目录；利用CodeBlue病毒的方法攻击随机IP地址，如果是未安装补丁的IIS服务器就会中毒。该蠕虫用它自己的SMTP服务器发送邮件，同时用已经配置好的DNS获得一个mail服务器地址。

　　Worms.Nimda运行时查找本地的HTM/ASP文件，将生成的带毒邮件放入这些文件中，并加入JavaScript脚本。这样，每当该网页被打开时，就会自动打开该染毒的readme.eml。Worms.Nimda用两种方法感染本地PE文件：一种是查找所有的WINDOWS 应用程序(在HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Currentversion/App Paths中)，并试图感染，但不感染WINZIP32.EXE；第二种方法搜索所有文件，并试图感染，被感染的文件会增大约57KB。

　　如果用户浏览一个已经被感染的web 页时，会被提示下载一个.eml(Outlook Express)的电子邮件文件。该邮件的MIME头是一个非正常的MIME头，它包含一个附件--即此蠕虫。这种邮件也可能是别人通过网络共享存入你的计算机，也可能是在别人的共享目录中。无论如何，只要你在WINDOWS的资源管理器中选中该文件，WINDOWS将自动预览该文件。由于Outlook Express的一个漏洞导致蠕虫自动运行，因此，即使你不打开文件也可能中毒。当这个蠕虫执行的时候，它会在WINDOWS目录下生成MMC.EXE文件，并将其属性改为系统、隐藏；它会用自身覆盖SYSTEM目录下的RICHED20.DLL，这个文件是OFFICE套件运行的必备库，WINDOWS的写字板等也要用到这个动态库，任何要使用这个动态库的程序试图启动时都会激活该它；它会将自己复制到SYSTEM目录下，并改名为LOAD.EXE，同时将SYSTEM.INI文件中的SHELL项改为“explorer.exe load.exe –dontrunold”，这样，在系统每次启动时将自动运行它；这个蠕虫会在已经感染的计算机共享所有本地硬盘，同时，这个蠕虫会以超级管理员的权限建立一个guest的访问帐号，以允许别人进入本地的系统。这个蠕虫改变Explorer的设置这样就让它无法显示隐藏文件和已知文件的扩展名。

三、推荐的解决方案
　
　　我们推存Microsoft的技术方案。如果您还没有安装相应的软件升级或补丁，您的计算机可能会感染上这种病毒。
　　您应该采取的操作 PC用户为防止计算机通过e-mail渠道被感染，请用以下产品之一升级您的Internet Explorer：
　　Microsoft 安全公告（Security Bulletin） MS01-020提供的补丁程序
　　Internet Explorer 5.01 Service Pack 2.
　　Internet Explorer 5.5 Service Pack 2.
　　Internet Explorer 6

系统管理员

　　防止系统感染上红色代码II（Code Red II）蠕虫病毒，并且使用我们提供的工具修复已被该病毒感染的系统。（Code Red II病毒会在系统中留下“后门”，而Nimda病毒会利用这个“后门”）
　　通过应用或安装任何一种以下产品，消除“Web Server Folder Traversal”漏洞：
　　应用Microsoft Security Bulletin MS00-057中提供的补丁程序
　　应用Microsoft Security Bulletin MS00-078中提供的补丁程序
　　应用Microsoft Security Bulletin MS00-086中提供的补丁程序
　　应用Microsoft Security Bulletin MS00-026中提供的补丁程序
　　应用Microsoft Security Bulletin MS01-044中提供的补丁程序
　　安装Windows 2000 Service Pack 2
　　安装Windows NT 4.0 Security Roll-up Package
　　以默认模式安装IIS Lockdown Tool
　　以默认的规则集安装URLScan工具
　　通过关闭所有计算机的权限防止病毒通过文件共享进行传播

附加信息

　　病毒的正式名称为W32/Nimda@MM，但是该病毒通常还被叫做“Nimda”蠕虫病毒。它会试图通过以下三种不同的方式进行传播：

　　Email：受感染的计算机会尝试通过e-mail发送病毒副本来传染其它用户。

　　Web服务器：受感染的计算机会尝试通过寻找已经受到破坏的Web服务器或利用已知的IIS服务器漏洞来传染其它的Web服务器。

　　文件共享：受到感染的计算机会对系统进行搜索，试图找到一个被配置为允许任何人向其中添加文件的共享文件夹。如果找到这样的一个文件夹，它将向其中写入受感染的文件。

　　Email 蠕虫病毒会利用在Microsoft Security Bulletin MS01-020中讨论过的安全漏洞将自身藏在邮件中，并向其他用户发送一个病毒副本来进行传播。正如在公告中所描述的那样，该漏洞存在于Internet Explorer之中，但是可以通过e-mail来利用。只需简单地打开邮件就会使机器感染上病毒 — 并不需要您打开邮件附件。

　　防病毒厂商正在开发能检测和清除病毒邮件的升级扫描工具。但是即使使用了这些工具，您也必须应用IE的补丁或安装IE的升级版本来消除这个漏洞。那些已经安装了上面所列出的IE升级程序的用户不会因为邮件而受到病毒的感染。

Web 服务器

　　该病毒攻击IIS 4.0和5.0Web服务器，它主要通过两种手段来进行攻击：第一，它检查计算机是否已经被Code Red II病毒所破坏，因为Code Red II病毒会创建一个“后门”，任何恶意用户都可以利用这个“后门”获得对系统的控制权。如果Nimda 病毒发现了这样的机器，它会简单地使用Code Red II病毒留下的后门来感染机器。第二，病毒会试图利用“Web Server Folder Traversal”漏洞来感染机器。如果它成功地找到了这个漏洞，病毒会使用它来感染系统。

　　可以使用工具来删除Code Red II蠕虫病毒留下的后门。但是，最好的做法是按照上面步骤1中的指示，一并防止受到Code Red II病毒的感染。

文件共享

　　病毒传播的最后一种手段是通过文件共享来进行传播。Windows系统可以被配置成允许其他用户读写系统中的文件。允许所有人都可以访问您的文件会导致很糟糕的安全性，而且默认情况下，Windows系统仅仅允许授权用户访问系统中的文件。然而，如果病毒发现系统被配置为其他用户可以在系统中创建文件，它会在其中添加文件来传播病毒。您可以使用Microsoft个人安全顾问（Personal Security Advisor）来检查您的系统是否存在错误的共享配置。