词条 | Worm.Nimda.i |
释义 | 尼姆达变种I(Worm.Nimda.i)病毒档案 知识库编号: RSV0512262 内容分类: 蠕虫病毒 关键词: 尼姆达变种I;Worm.Nimda.i 适用操作系统:Windows 操作系统 适用操作系统补丁版本:全部补丁适用 尼姆达变种I(Worm.Nimda.i)病毒档案 病毒评估 警惕程度:★★★★ 发作时间:随机 病毒类型:蠕虫病毒 传播方式:局域网/文件 感染对象:系统文件 依赖系统: WIN9X//NT/2000/XP 病毒介绍 尼姆达变种I(Worm.Nimda.i)病毒于2003年6月19日被瑞星全球反病毒监测网率先截获,该变种在原尼姆达病毒编写的基础上又进行了技术改进,具有更强的泄密性与网络传播的能力。 病毒特性 1、将被感染文件藏于自己体内。 该病毒的感染沿袭了原尼姆达病毒的感染方式,病毒运行时会查询注册表SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\App Paths的值,感染该项里的所有注册文件。感染时会将目标文件放入病毒的资源段内,即病毒不是将自身代码插入被感染的文件体内,而是直接将被感染文件“吞”到自己的肚子里。然后病毒会将自己的文件名改成被感染文件的文件名,进行李代桃僵。当不知情的用户想运行原来的文件时,病毒便会首先取得运行权,然后从自己体内将原来的文件释放出来并执行,使用户无法查觉到异常。 2、运行时藏身IE体内。 病毒会通过查询注册表信息得到IE(Explorer)的进程号,然后将病毒体注入到IE的进程空间内。如果成功病毒将在explorer进程空间中执行病毒的主体,这样病毒运行时就能躲过一些对内存比较了解的用户的查看。 3、以高优先级进行循环传染。 ?病毒运行时会提升自己的线程优先级,并且每隔30秒就重复一次传染流程,将导致系统资源极大浪费。 4、快速的局域网传播。 病毒运行时会枚举局域网内的所有计算机,并对其共享目录进行搜索,当病毒发现有系统文件时就尝试感染该文件。如被搜索目录存在doc文件时,病毒便会将自己复制到该目录下,并将自身命名为:_setup.exe和riched20.dll。只要用户双击该doc文件,系统便会自动执行这两个病毒文件,造成病毒在被感染的计算机上被激活,导致病毒再一次重复感染动作。 5、严重的泄密特性 病毒运行时还将激活当前系统的guest账号并将其加入到管理员组中,使其具有管理员的权限,然后病毒就能通过该通道进行非法操作。病毒还会将当前的a至z盘变成共享,使任何外界的黑客程序都可以无障碍地访问计算机中的信息,并且病毒还会感染这些共享磁盘中的所有系统文件,使其全部带毒。 解决方案 瑞星杀毒软件15.40.11版本可以彻底查杀此病毒。 |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。