关于防范“求职信”病毒和“尼姆达E”(NIMDA.E)病毒的紧急通知
作者:法律资料网 时间:2024-06-23 11:31:44 浏览:9490
来源:法律资料网
下载地址: 点击此处下载
关于防范“求职信”病毒和“尼姆达E”(NIMDA.E)病毒的紧急通知
关于防范“求职信”病毒和“尼姆达E”(NIMDA.E)病毒的紧急通知
近日,公安部计算机病毒防治产品中心陆续接到计算机用户受到两种病毒感染的报告,经分析确认,两种新型病毒的机理与“尼姆达”病毒相似,均为利用IE浏览器漏洞,通过电子邮件传播并且传播速度较快,危害性较大。其中一种病毒体代码含有英文求职信的内容,故称之为“求职信”病毒,另一种病毒则为“尼姆达”病毒的变种,称之为“尼姆达E”(NIMDA.E)。计算机系统如感染上述病毒后,系统运行将变得非常缓慢,严重时可造成系统瘫痪。
一、“求职信”病毒的技术特征和预防方法
1、 病毒的技术特征:
(I'm sorry to do so,but it's helpless to say sorry.
I want a good job,I must support my parents.
Now you have seen my technical capabilities.
How much my year-salary now? NO more than $5,500.
What do you think of this fact?
Don't call my names,I have no hostility.
Can you help me?)
该病毒通过电子邮件传播,邮件的主题从下列中随机选取
Hi
Hello
How are you?
Can you help me?
We want peace
Where will you go?
Congratulations!!!
Don't Cry
Look at the pretty
Some advice on your shortcoming
Free XXX Pictures
A free hot porn site
Why don't you reply to me?
How about have dinner with me together?
Never kiss a stranger
附件的名称也是随机的,如Nxrj.exe,Uruo.exe,Vws.exe。如果用户使用微软的Outlook收发电子邮件,那么在预览含有该病毒的邮件时,病毒已经被执行。病毒一旦运行,将在C:\Windows\System下生成两个隐含文件Krn132.exe和Wqk.exe,修改注册表,添加多个键值如:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Krn132=C:\WINDOWS\SYSTEM\Krn132.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WQK=C:\WINDOWS\SYSTEM\Wqk.exe 同时感染PE文件和.scr文件。
一旦感染此病毒,系统将变得非常缓慢,并且该病毒还可以通过取Outlook地址簿中的邮件地址自动传播给其他用户。在Windows\temp目录下会创建很多以字母K开头的EXE文件。当在某些月份的13日时,病毒会用“0”覆盖文件,导致系统瘫痪。
2、 预防办法:建议用户将Internet Explorer 升级到
IE6.0版本或安装IE5.5的SP2可对该病毒起到防范作用,IE5.0的用户也可通过修改INTERNET选项来防范病毒,将“INTERNET选项->安全->自定义级别->下载->文件下载”设置为“禁用”即可。当收到可疑邮件要求用户选择将文件打开、存盘或取消时,选择“取消”,而不要选择“打开”。或者让用户选择是否下载文件时,应选择否定。
二.“尼姆达E”病毒的技术特征和预防办法
该病毒与NIMDA蠕虫病毒的机理相近,利用IIS的漏洞,并可以通过电子邮件的附件、网络共享和文件方式进行传播。
1.当该病毒通过电子邮件传播时, 其附件的名称为sample.exe,执行该文件时,在C:\Windows\Temp 内建立名为meXXXXX.tmp.exe的临时文件.这个文件是e-mail格式,并且包含蠕虫所夹带的病毒代码。
2.若是IIS,则会在C、D或是E磁盘的根目录下生成httpodbc.dll 文件,并且造成网络阻塞
3.在Windows X/ME 系统中, 会在C:\windows 目录下产生 LOAD.EXE
4.在Windows NT/2K 系统中, 会在Windows 目录中产生隐藏文件CSRSS.EXE
被该病毒感染后,Windows 9X系统中的system.ini文件内容被修改
system.ini正常情况为:Shell = explorer.exe
感染病毒后变为:Shell = explorer.exe load.exe -dontrunold
并在C:\WINDOWS\TEMP文件夹下产生大量的临时文件sample.exe,其长度为56K。
请用户及时下载安装补丁程序
对于安装IIS的NT/2000服务器,要下载安装如下补丁:
http://www.microsoft.com/technet/security/bulletin/MS01-044.asp
对于所有的IE浏览器(5.0版本以上的系统),要下载安装如下补丁:
升级到Internet Explorer5.0 SP2
升级到Internet Explorer5.5 SP2
升级到Internet Explorer6.0
若以上均不可行,请到以下网址下载补丁程序:
http://www.microsoft.com/windows/ie/downloads/critical/patch9/default.asp
水利部网络中心目前正在密切监视该病毒的发展动向,瑞星公司、趋势科技公司、金山公司、冠群金辰公司报告了该病毒的处理方案。鉴于病毒同时具有多种传播渠道的特点,其传播速度会超过以往的病毒。希望广大计算机用户及时下载安装补丁程序,升级杀毒软件,遏制病毒的传播、蔓延。
如果您需要帮助,请与63202557联系。
中国水利信息网络中心
2001.11.09
下载地址: 点击此处下载