您现在的位置: 首页 > 病毒库 > 文件型病毒
Win32.Nimda.A
发布时间:2004-12-27 18:42:00
病毒名称:Win32.Nimda.A
其它名称:W32/Nimda.A@mm,尼姆达
病毒属性:文件型病毒 危害性:中等危害 流行程度:
具体介绍:

  Win32.Nimda(又名W32/Nimda@MM)是一种利用已知Internet Explorer和IIS系统的漏洞来进行传播的Internet 蠕虫。它也象文件型病毒那样可以感染Win32可执行文件和以html, htm, asp 为扩展名的文件。

  蠕虫可能通过如下方式进入系统:

通过一个特定MIME 头的HTML 邮件;
通过浏览一个已受感染系统的WEB站点;
通过打开网络共享;
通过一个未打补丁的 IIS 系统 ( 4.0 和 5.0).     

   当用户浏览一个携带有蠕虫的HTML邮件,或访问一个被感染的WEB站点,Internet Explorer 会下载一个执行Nimda.A 代码的附件程序( readme.exe )。这种情况的产生是因为微软Internet Explorer 5.01 和 5.5中的"Incorrect MIME Header"弱点。这个安全漏洞的详细描述和相应补丁可参见:     

  http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-020.asp     

  对于运行IIS的系统,蠕虫可能利用如下HTTP安全漏洞:

Microsoft IIS 4.0/5.0文件许可规范漏洞( File Permission Canonicalization Vulnerability )
Microsoft IIS/PWS 字符逃离解码命令执行漏洞(Escaped Characters Decoding Command Execution Vulnerability )
Microsoft IIS 和 PWS 扩展统一编码目录可通过漏洞(Extended Unicode Directory Traversal Vulnerability )     

  蠕虫通过任意选择的IP地址查找有漏洞的Internet 服务器。这个地址的产生和进行的扫描是由一个名为mmc.exe 的进程来执行的(mmc.exe 文件被蠕虫本身的副本所覆盖)。当mmc.exe 进程执行的时候,Win NT/2000用户可能会明显感到系统性能变慢。此外,蠕虫会把自身复制为Admin.dll 文件到所有驱动器的根目录。(蠕虫会把Admin.dll 标记为真的DLL文件)      

  当蠕虫连接到受害机器的后,会搜索所有目录并通过在文件中加入一行JavaScript 代码来感染htm, asp 和 html文件 。在感染成功的每一个目录中,蠕虫都会生成含有它自身MIME 代码格式的文件readme.eml 或 readme.nws。当一个受感染的htm* 或 asp文件被打开后蠕虫将在这些MIME文件中被执行。此外,蠕虫病毒还会生成许多*.eml的文件.

  蠕虫会感染Win32可执行文件(Winzip32.exe 文件除外),并让这些受感染的程序使用原来的图标。

  在感染的 Win9x 系统上,蠕虫为了在下一次能被执行,会复制自身为load.exe 文件到Windows 的系统目录下,并修改system.ini 文件:

  Shell=explorer.exe load.exe -dontrunold

  Nimda.A也会以一个合法的文件名riched20.dll复制自身到含有.DOC文件的目录中。

清除:

kill版本: