“尼姆达” 病毒2001年9月18日在全球蔓延，是一个传播性非常强的黑客病毒。它以邮件传播、主动攻击服务器、即时通讯工具传播、FTP协议传播、网页浏览传播为 主要的传播手段。

一、“尼姆达”（Nimda）病毒简介

二． 尼姆达”（Nimda）新变种病毒简介

修复尼姆达(W32.Nimda.A@mm)病毒感染的方法

IIS Unicode 漏洞补丁

一、“尼姆达”（Nimda）病毒简介

它能够通过多种传播渠道进行传染，传染性极强。对于个人用户的PC机，“尼姆达”可以通过邮件、网上即时通讯工具和“FTP程序”同时进 行传染；对于服务器，“尼姆达”则采用和“红色代码”病毒相似的途径，即攻击微软服务器程序的漏洞进行传播。由于该病毒在自身传染的过程中占用大量的网络 带宽和计算机的内部资源，因此许多企业的网络现在受到很大的影响，有的甚至已经瘫痪，就个人使用的PC机来说，速度也会有明显的下降。

二． 尼姆达”（Nimda）新变种病毒简介

“尼姆达”新变种命名为Worm.Concept.118784。其特点是在病毒源代码中有一段说明：Concept Virus(CV)V.6,Copyright(C)2001,(This's CV,No Nimda.)。（意思是：这是概念病毒，不是尼姆达病毒。）它在尼姆达病（Worm.Concept.57344）上做的改动有：

l 附件名从Readme.exe改为Sample.exe；

l 感染IIS系统时生成的文件从Admin.dll改为Httpodbc.dll；

l 在NT/2000及相关系统，病毒拷贝自己到Windows的system目录下，不再叫mmc.exe，而用Csrss.exe的名字。

修复尼姆达(W32.Nimda.A@mm)病毒感染的方法

方法一：

"尼姆达(W32.Nimda.A@mm)"专杀工具

ftp://ftp./Pub/AntiVirus/Duba_Concept.EXE

方法二：

"尼姆达(W32.Nimda.A@mm)"病毒手工修复方法：

请用户按照如下方法一步一步进行手动清除：

1、打开进程管理器，查看进程列表；

2、结束其中进程名称为“xxx.tmp.exe”以及“Load.exe”的进程（其中xxx为任意文件名）；

3、切换到系统的TEMP目录，寻找文件长度为57344的文件，删掉它们；

4、切换到系统的System目录，寻找名称为Riched20.DLL的文件；

5、查看Riched20.DLL的文件大小，系统的正常文件大小应该在100K以上，而Concept

病毒的副本大小为57344字节，如果有长度为57344字节的Riched20.DLL，删掉它；

6、继续在系统的System目录下寻找名称为load.exe、长度为57344字节的文件，删掉它；

7、在C:\\、D:\\、E:\\三个逻辑盘的根目录下寻找Admin.DLL文件，如果在根目录下存在该文件，则删除它；

8、打开System.ini文件，在[load]中如果有一行“shell=explorer.exe load.exe -dontrunold”，则改为“shell=explorer.exe”；

9、如果是WinNT或者Win2000以及WinXP系统，则打开“控制面板|用户和密码”，将Administrator组中的guest帐号删除；

10、打开共享文件夹管理，将共享“C$”去除，该共享为本地C:\\的完全共享；

11、搜索整个机器，查找文件名为Readme.eml的文件，如果文件内容中包含

“<HTML><HEAD></HEAD><BODY bgColor=3D#ffffff>

<iframe src="/blog/3Dcid:EA4DMGBP9p" height=3D0 width=3D0>

</iframe></BODY></HTML> ”

以及

“Content-Type: audio/x-wav;

name="readme.exe"

Content-Transfer-Encoding: base64”，则删掉该文件。

只要用户您认真仔细地依照上述方法步骤，便可做到手动清除新“概念”蠕虫，赶快行动吧！

IIS Unicode 漏洞补丁

ftp://ftp.seu./incoming/Document/IIS_UNICODE_patch/