Virus 版 (精华区)

发信人: wpf (赶上非典——屋漏偏遭连夜雨), 信区: Virus
标  题: 尼姆达变种i,详细分析报告
发信站: 哈工大紫丁香 (2003年06月20日09:15:06 星期五), 站内信件

发信人: RonLiang (俩零), 信区: Virus
标  题: 尼姆达变种I(Worm.Nimda.i)病毒详细分析报告
发信站: BBS 水木清华站 (Fri Jun 20 08:49:10 2003), 转信

www.rising.com.cn  2003-6-19 16:14:00  信息源:瑞星公司

警惕程度:★★★★
发作时间:随机 
病毒类型:蠕虫病毒 
传播方式:局域网/文件 
感染对象:系统文件 
依赖系统: WIN9X//NT/2000/XP

病毒介绍:

    尼姆达变种I(Worm.Nimda.i)病毒于6月19日被瑞星全球反病毒监测网率先截
获,该变种在原尼姆达病毒编写的基础上又进行了技术改进,具有更强的泄密性与
网络传播的能力。

    虽然该病毒还未在全球泛滥,但鉴于该病毒的特性,瑞星反病毒工程师提醒个
人及企业级用户,对该变种病毒要提前预防,以防止再一次发生尼姆达病毒袭击全
球的事件。

病毒特性:

    一 将被感染文件藏于自己体内。 

    该病毒的感染沿袭了原尼姆达病毒的感染方式,病毒运行时会查询注册表
SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths的值,感染该项里的所
有注册文件。感染时会将目标文件放入病毒的资源段内,即病毒不是将自身代码插
入被感染的文件体内,而是直接将被感染文件“吞”到自己的肚子里。然后病毒会
将自已的文件名改成被感染文件的文件名,进行李代桃僵。当不知情的用户想运行
原来的文件时,病毒便会首先取得运行权,然后从自己体内将原来的文件释放出来
并执行,使用户无法查觉到异常。

    二 运行时藏身IE体内。


病毒会通过查询注册表信息得到IE(Explorer)的进程号,然后将病毒体注入到
IE的进程空间内。如果成功病毒将在explorer进程空间中执行病毒的主体,这样病
毒运行时就能躲过一些对内存比较了解的用户的查看。

    三 以高优先级进行循环传染。

    病毒运行时会提升自己的线程优先级,并且每隔30秒就重复一次传染流程,将
导致系统资源极大浪费。

    四 快速的局域网传播。

    病毒运行时会枚举局域网内的所有计算机,并对其共享目录进行搜索,当病毒
发现有系统文件时就尝试感染该文件。如被搜索目录存在doc文件时,病毒便会将
自己复制到该目录下,并将自身命名为:_setup.exe和riched20.dll。只要用户双
击该doc文件,系统便会自动执行这两个病毒文件,造成病毒在被感染的计算机上
被激活,导致病毒再一次重复感染动作。

    五 严重的泄密特性

    病毒运行时还将激活当前系统的guest账号并将其加入到管理员组中,使其具
有管理员的权限,然后病毒就能通过该通道进行非法操作。病毒还会将当前的a至
z盘变成共享,使任何外界的黑客程序都可以无障碍地访问计算机中的信息,并且
病毒还会感染这些共享磁盘中的所有系统文件,使其全部带毒。

--
当你的电脑被病毒或者木马侵害的时候,请到virus版。
如果你受益于virus版,那么今后就请你帮助你的病友们,因为你深知他们所处的境地。
如果virus版未能如你所愿,那么也请你为了他们,将后来跟病毒斗争的经验告诉他们。
当你对病毒反病毒技术感兴趣的时候,请到virus版。共同提高、共同关心计算机安全。
virus版需要每一位网友的支持!


※ 来源:·BBS 水木清华站 smth.org·[FROM: 166.111.173.9]

--
          咦?!前面好多mm!我悄悄靠近~~~~~~~
    #   /
   ︿○╯
    (︿
    〈    . . ﹍﹍              

※ 来源:·哈工大紫丁香 bbs.hit.edu.cn·[FROM: 202.118.245.178]
[百宝箱] [返回首页] [上级目录] [根目录] [返回顶部] [刷新] [返回]
Powered by KBS BBS 2.0 (http://dev.kcn.cn)
页面执行时间:3.417毫秒