尼姆达病毒是一个新型蠕虫病毒，由JavaScript脚本语言编写，通过email、共享网络资源、IIS服务器传播，同时它也是一个感染本地文件的新型病毒。病毒体长度57344字节，它修改在本地驱动器上的.htm, .html和 .asp文件。此病毒可以使IE和Outlook Express加载产生readme.eml文件。该文件将尼姆达蠕虫作为一个附件包含，因此，不需要拆开或运行这个附件病毒就被执行。由于用户收到带毒邮件时无法看到附件，这样给防范带来困难，病毒也更具隐蔽性。

基本介绍

感染方式

传播途径(感染文件 乱发邮件 网络蠕虫 局域网传播)

解决方案

尼姆达变种I(基本信息 病毒介绍 病毒特性)

相关报道

基本介绍

尼姆达病毒2001年9月18日在全球蔓延，是一个传播性非常强的黑客病毒。它以邮件传播、主动攻击服务器、即时通讯工具传播、FTP协议传播、网页浏览传播为主要的传播手段。它能够通过多种传播渠道进行传染，传染性极强。对于个人用户的PC机，“尼姆达”可以通过邮件、网上即时通讯工具和“FTP程序”同时进行传染；对于服务器，“尼姆达”则采用和红色代码病毒相似的途径，即攻击微软服务器程序的漏洞进行传播。由于该病毒在自身传染的过程中占用大量的网络带宽和计算机的内部资源，因此许多企业的网络现在受到很大的影响，有的甚至已经瘫痪，就个人使用的PC机来说，速度也会有明显的下降。

Nimda病毒不但发送染毒邮件，还会感染EXE文件。当时声称能处理该病毒的反病毒公司都采取删除染毒文件的方式杀毒，导致很多重要程序不能运行，甚至机器瘫痪。瑞星公司推出世界上唯一可安全清除染毒文件的方法，不但可以清除染毒文件，还可清除内存中的病毒，确保杀毒之后系统正常运行。

它是一个新型蠕虫，也是一个病毒，它通过email、共享网络资源、IIS服务器传播。同时它也是一个感染本地文件的新型病毒。

这个新型W32.Nimda.A@mm蠕虫通过多种方式进行传播，几乎包括目前所有流行病毒的传播手段：

①通过email将自己发送出去；

②搜索局域网内共享网络资源；

③将病毒文件复制到没有打补丁的微软（NT/2000）IIS服务器；

④感染本地文件和远程网络共享文件；

⑤感染浏览的网页；

这个病毒降低系统资源，可能最后导致系统运行变慢最后宕机；它改变安全设置，在网络中共享被感染机器的硬盘，导致泄密；它不断的发送带毒邮件。

感染方式

Worms.Nimda运行时，会搜索本地硬盘中的HTM和HTML文件和EXCHANGE邮箱，从中找到EMAIL地址，并向这些地址发邮件；搜索网络共享资源，并试图将带毒邮件放入别人的共享目录中；利用CodeBlue病毒的方法，攻击随机的IP地址，如果是IIS服务器，并未安装补丁，就会中毒。该蠕虫用它自己的SMTP服务器去发出邮件。同时用已经配置好的DNS获得一个mail服务器的地址。

Worms.Nimda运行时，会查找本地的HTM/ASP文件，将生成的带毒邮件放入这些文件中，并加入JavaScript脚本。这样，每当该网页被打开时，就会自动打开该染毒的readme.eml。

Worms.Nimda感染本地PE文件时，有两种方法，一种是查找所有的WINDOWS应用程序(在HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Currentversion/AppPaths中)，并试图感染之，但不感染WINZIP32.EXE；第二种方法搜索所有文件，并试图感染之。被感染的文件会增大约57KB。如果用户游览了一个已经被感染的web页时，就会被提示下载一个.eml(OutlookExpress)的电子邮件文件，该邮件的MIME头是一个非正常的MIME头，并且它包含一个附件，即此蠕虫。这种邮件也可能是别人通过网络共享存入你的计算机中，也可能是在别人的共享目录中，无论如何，只要你在WINDOWS的资源管理器中选中该文件，WINDOWS将自动预览该文件，由于OutlookExpress的一个漏洞，导致蠕虫自动运行，因此即使你不打开文件，也可能中毒。当这个蠕虫执行的时候，它会在WINDOWS目录下生成MMC.EXE文件，并将其属性改为系统、隐藏；它会用自己覆盖SYSTEM目录下的RICHED20.DLL，这个文件是OFFICE套件运行的必备库，WINDOWS的写字板等也要用到这个动态库，任何要使用这个动态库的程序试图启动时，都会激活该它；它会将自己复制到SYSTEM目录下，并改名为LOAD.EXE，这样，在系统每次启动时，将自动运行它；这个蠕虫会在已经感染的计算机共享所有本地硬盘，同时，这个蠕虫会以超级管理员的权限建立一个guest的访问帐号，以允许别人进入本地的系统。这个蠕虫改变Explorer的设置这样就让它无法显示隐藏文件和已知文件的扩展名。

传播途径

尼姆达病毒的传播可以通过四种方式：

感染文件

尼姆达病毒定位本机系统中的EXE文件，并将病毒代码置入原文件体内，从而达到对文件的感染，当用户执行这些

文件的时候，病毒进行传播。

乱发邮件

尼姆达病毒利用MAPI从邮件的客户端及HTML文件中搜索邮件地址，然后将病毒发送给这些地址，这些邮件包含一个名为README.EXE的附件，在某些系统（NT及win9x未安装相应补丁）中该README.EXE能够自动执行，从而感染整个系统。

网络蠕虫

尼姆达病毒还会扫描internet，试图找到www主机，一旦找到这样的服务器，蠕虫便会利用已知的系统漏洞来感染该服务器，如果成功，蠕虫将会随机修改该站点的WEB页，当用户浏览该站点时，不知不觉中便被感染。

局域网传播

尼姆达病毒还会搜索本地网络的文件共享，无论是文件服务器还是终端客户机，一旦找到，便安装一个隐藏文件，名为RICHED20.DLL到每一个包含DOC和EML文件的目录中，当用户通过word、写字板、outlook打开DOC或EML文档时，这些应用程序将执行RICHED20.DLL文件，从而使机器被感染。同时该病毒还可以感染远程的在服务器被启动的文件。

解决方案

尼姆达病毒的特点是传播方式多，感染速度快，它通过email、共享网络资源、IIS服务器传播，同时它也是一个感染本地文件的新型病毒。其主要通过邮件传播，并能够在预览时进行感染，使计算机速度逐渐变慢，硬盘在不知情的情况下被共享、word和写字板等文档不能够正常的打开、保存或显示内存不足等提示信息。

根据尼姆达病毒的特点对于拥有局域网的企业级用户，建议使用瑞星网络版杀毒软件。由于“尼姆达”最大危害在于感染计算机后会改变安全设置，开放硬盘作为网络共享的资源，从而感染到服务器，将本地的文件和远程网络共享的文件全部感染。所以普通单机版的杀毒软件不可能实现全网的同步升级，安装网络版是最佳选择。

而对于广大单机用户及虽拥有局域网的企业级用户，但没有网络版的杀毒软件，而只有单机版杀毒软件的请按照如下的方法操作：

1.及时断开所有的网络连接

2.热启动，结束此蠕虫病毒的进程

3.在系统的temp文件目录下删除病毒文件

4.使用干净无毒的 Riched20.DLL（约100k）文件替换染毒的同名的Riched20.DLL文件（57344字节）

5.将系统目录下的load.exe文件（57344字节）彻底删除以及windows根目录下的mmc.exe文件；要在各逻辑盘的根目录下查找Admin.DLL文件，如果有Admin.DLL文件的话，删除这些病毒文件，并要查找文件名为Readme.eml的文件，也要删除它

6.如果用户使用的是Windows NT或Windows 2000的操作系统的计算机，那么要打开"控制面板"，之后打开"用户和密码"，将Administrator组中guest帐号删除。

尼姆达变种I

基本信息

警惕程度：★★★★

发作时间：随机

病毒类型：蠕虫病毒

传播方式：局域网/文件

感染对象：系统文件

依赖系统：WIN9X//NT/2000/XP

病毒介绍

尼姆达变种I（Worm.Nimda.i）病毒于6月19日被瑞星全球反病毒监测网率先截获，该变种在原尼姆达病毒编写的基础上又进行了技术改进，具有更强的泄密性与网络传播的能力。

虽然该病毒还未在全球泛滥，但鉴于该病毒的特性，瑞星反病毒工程师提醒个人及企业级用户，对该变种病毒要提前预防，以防止再一次发生尼姆达病毒袭击全球的事件。

病毒特性

一、将被感染文件藏于自己体内。

该病毒的感染沿袭了原尼姆达病毒的感染方式，病毒运行时会查询注册表SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\App Paths的值，感染该项里的所有注册文件。感染时会将目标文件放入病毒的资源段内，即病毒不是将自身代码插入被感染的文件体内，而是直接将被感染文件“吞”到自己的肚子里。然后病毒会将自已的文件名改成被感染文件的文件名，进行李代桃僵。当不知情的用户想运行原来的文件时，病毒便会首先取得运行权，然后从自己体内将原来的文件释放出来并执行，使用户无法查觉到异常。

二、运行时藏身IE体内。

病毒会通过查询注册表信息得到IE（Explorer）的进程号，然后将病毒体注入到IE的进程空间内。如果成功病毒将在explorer进程空间中执行病毒的主体，这样病毒运行时就能躲过一些对内存比较了解的用户的查看。

三、以高优先级进行循环传染。

病毒运行时会提升自己的线程优先级，并且每隔30秒就重复一次传染流程，将导致系统资源极大浪费。

四、快速的局域网传播。

病毒运行时会枚举局域网内的所有计算机，并对其共享目录进行搜索，当病毒发现有系统文件时就尝试感染该文件。如被搜索目录存在doc文件时，病毒便会将自己复制到该目录下，并将自身命名为：_setup.exe和riched20.dll。只要用户双击该doc文件，系统便会自动执行这两个病毒文件，造成病毒在被感染的计算机上被激活，导致病毒再一次重复感染动作。

五、严重的泄密特性。

病毒运行时还将激活当前系统的guest账号并将其加入到管理员组中，使其具有管理员的权限，然后病毒就能通过该通道进行非法操作。病毒还会将当前的a至z盘变成共享，使任何外界的黑客程序都可以无障碍地访问计算机中的信息，并且病毒还会感染这些共享磁盘中的所有系统文件，使其全部带毒。

相关报道

“尼姆达”作者：更希望它叫“概念病毒”

根据美国冠群公司提供的材料，从2001年9月中旬开始在网络上肆虐的“尼姆达”病毒出现新变种。

这个新变种名为“尼姆达·E”，这个新病毒与原病毒的破坏效果一样，但病毒中的一些文件已经被重新命名，而且病毒的作者还在其中加入了一封信。

电脑病毒作者的信很像普通软件中的版权声明，作者还恶作剧式地指出，他不喜欢自己设计的这种电脑病毒被称为“尼姆达”，而希望它被叫作“概念病毒”。

“尼姆达”蠕虫病毒与以往的蠕虫病毒有很大不同，它可通过三种方式传播：电子邮件附件、利用http（超文本传输协议）的网络传播、硬盘共享，并且能感染所有的32位视窗操作系统。“尼姆达”病毒还感染可执行文件，传统杀毒软件通常采取删除染毒文件的方式杀毒，将导致很多重要程序不能正常运行，甚至造成电脑瘫痪。

紧急病毒警报：“尼姆达”第9代惊现 攻击力居其家族之首

2003年6月19日，瑞星全球反病毒监测网截获了病毒王尼姆达的最新变种—尼姆达变种I（Worm.Nimda.i）病毒。该变种在原尼姆达病毒编写的基础上又进行了技术改进，具有更强的泄密性与网络传播的能力，因此具有更大的杀伤力和威胁性。

2001年9月，尼姆达病毒第一次爆发，仅三个月时间，该病毒在全球造成的直接经济损失达6.35亿美元。由于该病毒的破坏性远远大于以往尼姆达变种，瑞星反病毒工程师特别提醒个人及企业级用户，对该变种病毒要提前预防，以防止再一次发生病毒袭击全球的事件。

据瑞星反病毒工程师分析，与原病毒相比，该病毒主要在两个方面进行了改进：

一是具有更强的泄密性。该病毒搜索并袭击局域网中的所有计算机，将这些计算机上的所有的“GUEST”用户激活，并使其拥有超级权限，然后病毒就可以通过该途径为所欲为。同时该病毒会将计算机上的A：到Z：的磁盘都设成共享状态，导致外界的任何一个黑客程序都可以无障碍地获取被感染计算机上的信息。

二是具有更强的网络传播能力。该病毒运行后会将自己的运行级别大幅度地提升，导致系统在正常的情况下首先运行此病毒程序。每隔30秒，病毒就重复一次传染流程，这种循环反复的传播方式，会迅速消耗网络资源，导致整个局域网内的全部计算机都陷入病毒的互相感染之中，从而最终导致系统崩溃、局域网瘫痪。