Virus 版 (精华区)

发信人: wpf (赶上非典——屋漏偏遭连夜雨), 信区: Virus
标  题: 尼姆达变种i，详细分析报告
发信站: 哈工大紫丁香 (2003年06月20日09:15:06 星期五), 站内信件

发信人: RonLiang (俩零), 信区: Virus
标  题: 尼姆达变种I(Worm.Nimda.i)病毒详细分析报告
发信站: BBS 水木清华站 (Fri Jun 20 08:49:10 2003), 转信

www.rising.com.cn  2003-6-19 16:14:00  信息源:瑞星公司

警惕程度：★★★★
发作时间：随机 
病毒类型：蠕虫病毒 
传播方式：局域网/文件 
感染对象：系统文件 
依赖系统: WIN9X//NT/2000/XP

病毒介绍：

    尼姆达变种I（Worm.Nimda.i）病毒于6月19日被瑞星全球反病毒监测网率先截
获，该变种在原尼姆达病毒编写的基础上又进行了技术改进，具有更强的泄密性与
网络传播的能力。

    虽然该病毒还未在全球泛滥，但鉴于该病毒的特性，瑞星反病毒工程师提醒个
人及企业级用户，对该变种病毒要提前预防，以防止再一次发生尼姆达病毒袭击全
球的事件。

病毒特性：

    一 将被感染文件藏于自己体内。 

    该病毒的感染沿袭了原尼姆达病毒的感染方式，病毒运行时会查询注册表
SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths的值，感染该项里的所
有注册文件。感染时会将目标文件放入病毒的资源段内，即病毒不是将自身代码插
入被感染的文件体内，而是直接将被感染文件“吞”到自己的肚子里。然后病毒会
将自已的文件名改成被感染文件的文件名，进行李代桃僵。当不知情的用户想运行
原来的文件时，病毒便会首先取得运行权，然后从自己体内将原来的文件释放出来
并执行，使用户无法查觉到异常。

    二 运行时藏身IE体内。


病毒会通过查询注册表信息得到IE（Explorer）的进程号，然后将病毒体注入到
IE的进程空间内。如果成功病毒将在explorer进程空间中执行病毒的主体，这样病
毒运行时就能躲过一些对内存比较了解的用户的查看。

    三 以高优先级进行循环传染。

    病毒运行时会提升自己的线程优先级，并且每隔30秒就重复一次传染流程，将
导致系统资源极大浪费。

    四 快速的局域网传播。

    病毒运行时会枚举局域网内的所有计算机，并对其共享目录进行搜索，当病毒
发现有系统文件时就尝试感染该文件。如被搜索目录存在doc文件时，病毒便会将
自己复制到该目录下，并将自身命名为：_setup.exe和riched20.dll。只要用户双
击该doc文件，系统便会自动执行这两个病毒文件，造成病毒在被感染的计算机上
被激活，导致病毒再一次重复感染动作。

    五 严重的泄密特性

    病毒运行时还将激活当前系统的guest账号并将其加入到管理员组中，使其具
有管理员的权限，然后病毒就能通过该通道进行非法操作。病毒还会将当前的a至
z盘变成共享，使任何外界的黑客程序都可以无障碍地访问计算机中的信息，并且
病毒还会感染这些共享磁盘中的所有系统文件，使其全部带毒。

--
当你的电脑被病毒或者木马侵害的时候，请到virus版。
如果你受益于virus版，那么今后就请你帮助你的病友们，因为你深知他们所处的境地。
如果virus版未能如你所愿，那么也请你为了他们，将后来跟病毒斗争的经验告诉他们。
当你对病毒反病毒技术感兴趣的时候，请到virus版。共同提高、共同关心计算机安全。
virus版需要每一位网友的支持！


※ 来源:·BBS 水木清华站 smth.org·[FROM: 166.111.173.9]

--
          咦?!前面好多mm!我悄悄靠近~~~~~~~
    ＃   /
   ︿○╯
    （︿
    〈    . . ﹍﹍              

※ 来源:·哈工大紫丁香 bbs.hit.edu.cn·[FROM: 202.118.245.178]