×

Loading...
Ad by
  • 推荐 OXIO 加拿大高速网络,最低月费仅$40. 使用推荐码 RCR37MB 可获得一个月的免费服务
Ad by
  • 推荐 OXIO 加拿大高速网络,最低月费仅$40. 使用推荐码 RCR37MB 可获得一个月的免费服务

微软有个专门的report,关于这个升级的。怕系统冲突(以前有个升级导致acrobat不能打印),没升,现在一开IIs,不出5分钟系统就报警有nimda(用的cable时刻在网上),真他妈。

本文发表在 rolia.net 枫下论坛亲爱的微软用户:

最近有一种正式名称为“W32/Nimda@MM”(简称Nimda)的新型蠕虫病毒正在Internet上四处传播,许多用户已经受到了该病毒的感染。Microsoft正在会同防病毒公司和其它安全专家对这种病毒进行分析研究。如果您还没有安装相应的软件升级或补丁,您的计算机可能会感染上这种病毒。微软(中国)有限公司特提醒您注意防治此种病毒以免遭不必要的损失。
最终用户
如您是Windows 9x/Me和Windows 2000桌面版的最终用户,您应该采取以下操作来防止计算机通过e-mail渠道被感染,请用以下产品之一升级您的Internet Explorer(以下连接可以直接导引您到相应网址):
o Microsoft 安全公告(Security Bulletin)提供的补丁程序http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
o Internet Explorer 5.5 Service Pack 2. http://www.microsoft.com/windows/ie/downloads/recommended/ie55sp2/default.asp
o Internet Explorer 6 http://www.microsoft.com/windows/ie/downloads/ie6/default.asp
系统管理员
如您是Windows 2000服务器的系统管理员,您应该采取以下操作来防止服务器通过Web服务或文件共享服务渠道被感染(以下连接可以直接导引您到相应网址):
1.防止系统感染上红色代码II蠕虫病毒,并且使用我们提供的工具修复已被该病毒感染的系统(Code Red II病毒会在系统中留下“后门”,而Nimda病毒会利用这个“后门”)。http://www.microsoft.com/china/china/security/bestprac/isacored.asp
2.通过应用或安装任何一种以下产品,消除“Web Server Folder Traversal ”漏洞: http://www.microsoft.com/technet/security/bulletin/MS00-078.asp
o 应用Microsoft Security Bulletin MS00-057中提供的补丁程序http://www.microsoft.com/technet/security/bulletin/ms00-057.asp
o 应用Microsoft Security Bulletin MS00-078中提供的补丁程序http://www.microsoft.com/china/security/bestprac/isacored.asp
o 应用Microsoft Security Bulletin MS00-086中提供的补丁程序http://www.microsoft.com/technet/security/bulletin/ms00-086.asp
o 应用Microsoft Security Bulletin MS00-026中提供的补丁程序 http://www.microsoft.com/technet/security/bulletin/ms00-026.asp
o 应用Microsoft Security Bulletin MS01-044中提供的补丁程序 http://www.microsoft.com/technet/security/bulletin/MS01-044.asp
o 安装Windows 2000 Service Pack 2 http://www.microsoft.com/windows2000/downloads/servicepacks/sp2/default.asp
o 安装Windows NT 4.0 Security Roll-up Package http://www.microsoft.com/downloads/release.asp?ReleaseID=31240
o 以默认模式安装IIS Lockdown Tool http://www.microsoft.com/technet/security/tools/locktool.asp
o 以默认的规则集安装URLScan工具 http://www.microsoft.com/technet/security/URLScan.asp
3.通过关闭所有计算机的权限防止病毒通过文件共享进行传播。
若发现异常
如您是Windows 9x/Me和Windows 2000桌面版的最终用户,且发现您的计算机有下列症状之一或全部:
o 计算机运行速度突然变慢,或100%的CPU利用率
o 多个微软管理控制台(Microsoft Management Console)被加载
o 多个命令行窗口被调用
o 多个TFTP可执行文件被加载
o 文件浏览器被反复的加载和卸载
o 许多以.eml为后缀名的文件被创建
请尽快通知您的系统管理员;或使用您在产品注册时得到的用户认证号码来向微软客户服务中心来寻求帮助。
如您是Windows 2000服务器的系统管理员,且发现您所负责的系统有下列症状之一或全部:
o 您的同事向您汇报可疑情况
o 系统网络有可疑且持续的性能下降
o 邮件服务器有可疑且持续的性能下降
请尽快访问微软相关站点来获取相关信息并采取相应措施,或使用您在产品注册时得到的用户认证号码来向微软客户服务中心来寻求帮助。
您也可以致电或传真给微软(中国)有限公司客户服务中心获取补丁程序光盘。电话是010-62617722 传真号码是 010-62536630 请在传真上注明微软客户服务中心Nimda工作组收。
更多信息和相关防治软件可以在如下网址获得:http://www.microsoft.com/china/security/Bulletins/nimda.asp

微软(中国)有限公司
2001年9月22日


附加信息
Nimda蠕虫病毒是什么?
o 正在互联网(Internet)上传播,正式名称为“W32/Nimda@MM”的新型蠕虫病毒
o 试图通过三种不同的方式进行传播
o 似乎只传染Windows 9x/ME,Windows NT4,和Windows 2000三种操作系统
o 版本号5.0或更早期版本的互联网浏览器(Internet Explorer)能被该病毒利用来帮助其传播
o 该病毒所利用的都是已知并有补丁包的系统弱点
通过电子邮件的传播方法
o 用户接受到含有附件名为readme.eml的电子邮件
o 若用户的互联网浏览器(Internet Explorer)存在MS01-020所论述的安全漏洞,当用户打开该邮件时,系统即被感染,甚至无需打开附件
o 该病毒将自身拷贝通过电子邮件发送给其他人,从而实现继续传播的目的
o 该安全漏洞存在于互联网浏览器(Internet Explorer),但是被电子邮件所利用。详情请参照“Incorrect MIME Header Can Cause IE to Execute E-Mail Attachment”
o 该安全漏洞的补钉软件包已经发布了一段时间(发布于2001/3/29)
防病毒厂商正在开发能检测和清除病毒邮件的升级扫描工具。但是即使使用了这些工具,您也必须应用IE的补丁或安装IE的升级版本来消除这个漏洞。那些已经安装了上面所列出的IE升级程序的用户不会因为邮件而受到病毒的感染。
Web 服务器
该病毒攻击IIS 4.0和5.0Web服务器,它主要通过两种手段来进行攻击:
第一, 它检查计算机是否已经被Code Red II病毒所破坏,因为Code Red II病毒会创建一个“后门”,任何恶意用户都可以利用这个“后门”获得对系统的控制权。如果Nimda 病毒发现了这样的机器,它会简单地使用Code Red II病毒留下的后门来感染机器。
第二, 病毒会试图利用“Web Server Folder Traversal”漏洞来感染机器。如果它成功地找到了这个漏洞,病毒会使用它来感染系统。该安全漏洞的补钉软件包已经发布了一段时间(发布于2000/10/17)。
可以使用工具来删除Code Red II蠕虫病毒留下的后门。但是,最好的做法是按照上面步骤1中的指示,一并防止受到Code Red II病毒的感染。
一旦Web服务器被感染,Nimda将把Inetpub目录下后缀名为.HTM,.HTML和.ASP的页面文件加入下列部分:
<html><script language="JavaScript">window.open("readme.eml", null, "resizable=no,top=6000,left=6000")</script></html> (Or similar)
当修改后的文件被访问时,客户端将有一新的浏览器窗口被打开,同时上述的电子邮件的内容被加载。
文件共享
病毒传播的最后一种手段是通过文件共享来进行传播。Windows系统可以被配置成允许其他用户读写系统中的文件。允许所有人都可以访问您的文件会导致很糟糕的安全性,而且默认情况下,Windows系统仅仅允许授权用户访问系统中的文件。然而,如果病毒发现系统被配置为其他用户可以在系统中创建文件,它会在其中添加文件来传播病毒。您可以使用Microsoft个人安全顾问(Personal Security Advisor)来检查您的系统是否存在错误的共享配置
更多资源
Microsoft将继续对病毒进行研究,并将根据研究结果提供升级信息。与此同时,您可以从以下资源获取相应的附加信息:
?InnocuLAN / eTrust
o Info: http://support.ca.com/techbases/ilnt/virusalert2.html
o VirSig: http://support.ca.com/Download/virussig.html

?McAfee / Network Associates / Dr. Solomon
o Info: http://vil.nai.com/vil/virusSummary.asp?virus_k=99209
o VirSig: http://a64.g.akamai.net/7/64/2015/2001-09-18-12-00-00-746/download.nai.com/products/licensed/superdat/english/intel/sdat4160.exe

?Sophos / F-Secure
o Info: http://www.f-secure.com/v-descs/nimda.shtml
o VirSig: http://www.f-secure.com/download-purchase/updates.shtml

?Symantec Norton AntiVirus / IBM AntiVirus
o Info: http://www.symantec.com/avcenter/venc/data/w32.nimda.a@mm.html
o VirSig: http://www.sarc.com/avcenter/defs.download.html

?Trend Micro / PC-cillin
o Info: http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=PE_NIMDA.A
o VirSig: http://www.antivirus.com/download/pattern.asp更多精彩文章及讨论,请光临枫下论坛 rolia.net
Report

Replies, comments and Discussions:

  • 枫下家园 / 电脑用户 / 救命!我现在用WIN2000 ADV SERVER,最近总被NIMDA病毒骚扰,用金山毒霸和NAV专杀NIMDA的工具查了,报告说没有病毒,但是
    NAV的AUTO PROTECTION隔几分钟就跳出一个窗口说

    Norton Antivirus has detected the Win32.Nimda.A@mm(dll) virus in:
    File Name: c:\Intpub\Scripts\TFTP2264
    ......
    .....
    Unable to repair the file.

    我只好关掉NAV的 AUTO PROTECTION. 有没有什么好的解决办法?
    • 我用金山毒爸2 和 瑞星都查出来 并且杀掉了
    • 金山毒爸2002
      • 哪里弄得到? 这里不比国内,可以随便买碟啊。
    • 除了杀毒,还要装补丁,否则还是有被感染的机会。上微软的http://windowsupdate.microsoft.com/看看,最好升级到sp2。
      • 谢谢!我已经做过升级到SP2的工作,但是
        升级后再点击 IE->HELP->ABOUT INTERNET EXPLORER, 里面的版本信息还是SP1,是升级不成功吗?

        下面是部分IE版本信息:

        Version:5.50.4522.1800IS
        ...
        ...
        Update Versions:; SP1; Q299618: q261255
        • IE的补丁和WINDOWS的补丁是两回事。你现在应该是WINDOWS 2000SP2+IE5.5SP1。
    • 把inetpub下scripts下得文件统统删调
      • 整个目录都删了,但是一会儿又自动建立。唉!
        • 微软有个专门的report,关于这个升级的。怕系统冲突(以前有个升级导致acrobat不能打印),没升,现在一开IIs,不出5分钟系统就报警有nimda(用的cable时刻在网上),真他妈。
          本文发表在 rolia.net 枫下论坛亲爱的微软用户:

          最近有一种正式名称为“W32/Nimda@MM”(简称Nimda)的新型蠕虫病毒正在Internet上四处传播,许多用户已经受到了该病毒的感染。Microsoft正在会同防病毒公司和其它安全专家对这种病毒进行分析研究。如果您还没有安装相应的软件升级或补丁,您的计算机可能会感染上这种病毒。微软(中国)有限公司特提醒您注意防治此种病毒以免遭不必要的损失。
          最终用户
          如您是Windows 9x/Me和Windows 2000桌面版的最终用户,您应该采取以下操作来防止计算机通过e-mail渠道被感染,请用以下产品之一升级您的Internet Explorer(以下连接可以直接导引您到相应网址):
          o Microsoft 安全公告(Security Bulletin)提供的补丁程序http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
          o Internet Explorer 5.5 Service Pack 2. http://www.microsoft.com/windows/ie/downloads/recommended/ie55sp2/default.asp
          o Internet Explorer 6 http://www.microsoft.com/windows/ie/downloads/ie6/default.asp
          系统管理员
          如您是Windows 2000服务器的系统管理员,您应该采取以下操作来防止服务器通过Web服务或文件共享服务渠道被感染(以下连接可以直接导引您到相应网址):
          1.防止系统感染上红色代码II蠕虫病毒,并且使用我们提供的工具修复已被该病毒感染的系统(Code Red II病毒会在系统中留下“后门”,而Nimda病毒会利用这个“后门”)。http://www.microsoft.com/china/china/security/bestprac/isacored.asp
          2.通过应用或安装任何一种以下产品,消除“Web Server Folder Traversal ”漏洞: http://www.microsoft.com/technet/security/bulletin/MS00-078.asp
          o 应用Microsoft Security Bulletin MS00-057中提供的补丁程序http://www.microsoft.com/technet/security/bulletin/ms00-057.asp
          o 应用Microsoft Security Bulletin MS00-078中提供的补丁程序http://www.microsoft.com/china/security/bestprac/isacored.asp
          o 应用Microsoft Security Bulletin MS00-086中提供的补丁程序http://www.microsoft.com/technet/security/bulletin/ms00-086.asp
          o 应用Microsoft Security Bulletin MS00-026中提供的补丁程序 http://www.microsoft.com/technet/security/bulletin/ms00-026.asp
          o 应用Microsoft Security Bulletin MS01-044中提供的补丁程序 http://www.microsoft.com/technet/security/bulletin/MS01-044.asp
          o 安装Windows 2000 Service Pack 2 http://www.microsoft.com/windows2000/downloads/servicepacks/sp2/default.asp
          o 安装Windows NT 4.0 Security Roll-up Package http://www.microsoft.com/downloads/release.asp?ReleaseID=31240
          o 以默认模式安装IIS Lockdown Tool http://www.microsoft.com/technet/security/tools/locktool.asp
          o 以默认的规则集安装URLScan工具 http://www.microsoft.com/technet/security/URLScan.asp
          3.通过关闭所有计算机的权限防止病毒通过文件共享进行传播。
          若发现异常
          如您是Windows 9x/Me和Windows 2000桌面版的最终用户,且发现您的计算机有下列症状之一或全部:
          o 计算机运行速度突然变慢,或100%的CPU利用率
          o 多个微软管理控制台(Microsoft Management Console)被加载
          o 多个命令行窗口被调用
          o 多个TFTP可执行文件被加载
          o 文件浏览器被反复的加载和卸载
          o 许多以.eml为后缀名的文件被创建
          请尽快通知您的系统管理员;或使用您在产品注册时得到的用户认证号码来向微软客户服务中心来寻求帮助。
          如您是Windows 2000服务器的系统管理员,且发现您所负责的系统有下列症状之一或全部:
          o 您的同事向您汇报可疑情况
          o 系统网络有可疑且持续的性能下降
          o 邮件服务器有可疑且持续的性能下降
          请尽快访问微软相关站点来获取相关信息并采取相应措施,或使用您在产品注册时得到的用户认证号码来向微软客户服务中心来寻求帮助。
          您也可以致电或传真给微软(中国)有限公司客户服务中心获取补丁程序光盘。电话是010-62617722 传真号码是 010-62536630 请在传真上注明微软客户服务中心Nimda工作组收。
          更多信息和相关防治软件可以在如下网址获得:http://www.microsoft.com/china/security/Bulletins/nimda.asp

          微软(中国)有限公司
          2001年9月22日


          附加信息
          Nimda蠕虫病毒是什么?
          o 正在互联网(Internet)上传播,正式名称为“W32/Nimda@MM”的新型蠕虫病毒
          o 试图通过三种不同的方式进行传播
          o 似乎只传染Windows 9x/ME,Windows NT4,和Windows 2000三种操作系统
          o 版本号5.0或更早期版本的互联网浏览器(Internet Explorer)能被该病毒利用来帮助其传播
          o 该病毒所利用的都是已知并有补丁包的系统弱点
          通过电子邮件的传播方法
          o 用户接受到含有附件名为readme.eml的电子邮件
          o 若用户的互联网浏览器(Internet Explorer)存在MS01-020所论述的安全漏洞,当用户打开该邮件时,系统即被感染,甚至无需打开附件
          o 该病毒将自身拷贝通过电子邮件发送给其他人,从而实现继续传播的目的
          o 该安全漏洞存在于互联网浏览器(Internet Explorer),但是被电子邮件所利用。详情请参照“Incorrect MIME Header Can Cause IE to Execute E-Mail Attachment”
          o 该安全漏洞的补钉软件包已经发布了一段时间(发布于2001/3/29)
          防病毒厂商正在开发能检测和清除病毒邮件的升级扫描工具。但是即使使用了这些工具,您也必须应用IE的补丁或安装IE的升级版本来消除这个漏洞。那些已经安装了上面所列出的IE升级程序的用户不会因为邮件而受到病毒的感染。
          Web 服务器
          该病毒攻击IIS 4.0和5.0Web服务器,它主要通过两种手段来进行攻击:
          第一, 它检查计算机是否已经被Code Red II病毒所破坏,因为Code Red II病毒会创建一个“后门”,任何恶意用户都可以利用这个“后门”获得对系统的控制权。如果Nimda 病毒发现了这样的机器,它会简单地使用Code Red II病毒留下的后门来感染机器。
          第二, 病毒会试图利用“Web Server Folder Traversal”漏洞来感染机器。如果它成功地找到了这个漏洞,病毒会使用它来感染系统。该安全漏洞的补钉软件包已经发布了一段时间(发布于2000/10/17)。
          可以使用工具来删除Code Red II蠕虫病毒留下的后门。但是,最好的做法是按照上面步骤1中的指示,一并防止受到Code Red II病毒的感染。
          一旦Web服务器被感染,Nimda将把Inetpub目录下后缀名为.HTM,.HTML和.ASP的页面文件加入下列部分:
          <html><script language="JavaScript">window.open("readme.eml", null, "resizable=no,top=6000,left=6000")</script></html> (Or similar)
          当修改后的文件被访问时,客户端将有一新的浏览器窗口被打开,同时上述的电子邮件的内容被加载。
          文件共享
          病毒传播的最后一种手段是通过文件共享来进行传播。Windows系统可以被配置成允许其他用户读写系统中的文件。允许所有人都可以访问您的文件会导致很糟糕的安全性,而且默认情况下,Windows系统仅仅允许授权用户访问系统中的文件。然而,如果病毒发现系统被配置为其他用户可以在系统中创建文件,它会在其中添加文件来传播病毒。您可以使用Microsoft个人安全顾问(Personal Security Advisor)来检查您的系统是否存在错误的共享配置
          更多资源
          Microsoft将继续对病毒进行研究,并将根据研究结果提供升级信息。与此同时,您可以从以下资源获取相应的附加信息:
          ?InnocuLAN / eTrust
          o Info: http://support.ca.com/techbases/ilnt/virusalert2.html
          o VirSig: http://support.ca.com/Download/virussig.html

          ?McAfee / Network Associates / Dr. Solomon
          o Info: http://vil.nai.com/vil/virusSummary.asp?virus_k=99209
          o VirSig: http://a64.g.akamai.net/7/64/2015/2001-09-18-12-00-00-746/download.nai.com/products/licensed/superdat/english/intel/sdat4160.exe

          ?Sophos / F-Secure
          o Info: http://www.f-secure.com/v-descs/nimda.shtml
          o VirSig: http://www.f-secure.com/download-purchase/updates.shtml

          ?Symantec Norton AntiVirus / IBM AntiVirus
          o Info: http://www.symantec.com/avcenter/venc/data/w32.nimda.a@mm.html
          o VirSig: http://www.sarc.com/avcenter/defs.download.html

          ?Trend Micro / PC-cillin
          o Info: http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=PE_NIMDA.A
          o VirSig: http://www.antivirus.com/download/pattern.asp更多精彩文章及讨论,请光临枫下论坛 rolia.net
        • 你人手删除文件的速度哪里够病毒复制快?应该断掉一切网络连接,用杀病毒软件彻底检查所有文件,并且设置成发现病毒自动清除。查完一遍后再查一遍,直到从头到尾都是干净的时候才算真正杀干净了。
          然后,该打补丁打补丁,该升级升级。千万不要关掉AUTO PROTECTION。你的机器如果升级到2000sp2+IE6或IE5.5SP2,就不会受感染了。