我公司一堆電腦中了這隻 nimdo 的蠕蟲 請參考 http://www.cert.org.tw/cindex.htm 中那兩篇說明 或 http://www.symantec.com/avcenter/venc/data/w32.nimda.a@mm.html 這隻病毒+蠕蟲超會感染的 有開分享的請關掉 不然連不收e-mail也可能感染 使用 NAV 清除 W32.Nimda.A@mm ： 1. 更新到最新病毒碼 2. 將 NAV 設定為掃描所有檔案，可參考 http://service1.symantec.com/SUPPORT/nav.nsf/docid/1999110513272906 3. 執行完全掃描 4. 如果有檔案被 W32.Nimda.A@mm 或 W32.Nimda.A@mm (html)感染，選取修復 5. 如果有檔案被 W32.Nimda.A@mm (dr) 或 W32.Nimda.A@mm (dll)感染，選取刪除 6. 重新開機 7. 重複 1-6，直到沒有檔案被感染 8. 把 SYSTEM.INI 檔案中的 SHELL=explorer.exe load.exe -dontrunold 改成 SHELL=explorer.exe 9. 移除所有不必要的網芳分享 10. 如果 Administrator 群組中有 guest 這個帳號，請移除掉 資料來源： http://securityresponse.symantec.com/avcenter/venc/data/w32.nimda.a@mm.html 這是抓http://www.cert.org.tw/cindex.htm 的說明 -- ※ 發信站: 批踢踢實業坊(ptt.csie.ntu.edu.tw) ◆ From: 203.187.84.47 > -------------------------------------------------------------------------- < 作者: Jutta (Heinz) 看板: NTUMRC 標題: 另一篇解方法 時間: Wed Sep 19 22:41:58 2001 先說.. 我沒試過..因為不敢用 me 或 2000開機 過兩天我再裝修正程式 嘿.. 用 FreeBSD的好處就是不怕 w32的病毒 當然也是有動..SENDMAIL的動還沒補..不知會不會出事 發信人: edoctor.bbs@bbs.nsysu.edu.tw (電腦安全急救服뀬 信區: virus 標 題: [病毒公告] 請心心 Nimda 病毒!! 發信站: 中山計中美麗之島 (Wed Sep 19 19:23:17 2001) 轉信站: cis_nctu!news.cis.nctu!ctu-peer!news.nctu!spring!news.nsysu!Formosa 來 源: bbs.nsysu.edu.tw Nimda病毒攻擊兵分二路 IIS 與IE用戶請更新修正漏洞 本週發現一個具高度危險攻擊力的Nimda病毒，其攻擊兵分二路， 一、Server端：利用Unicode漏洞攻擊IIS Server，並感染HTM、HTML、ASP檔，之後持續對其他網站發出攻擊行為。 二、Client端：瀏覽中毒網頁的Client端會中毒，透過區域網路也會中毒， 會自動用Outlook開啟readme.e ml檔案，並自動發病毒信。由於病毒的散播快速，網路系統很容易就被癱瘓。 Nimda病毒內含訊息" Concept Virus(CV) V.5, Copyright(C)2001 R.P.China "， 散佈的相當快，已被列為高危險的一個病毒，除了國外有中毒情形， 目前國內也傳出災情。 病毒行為： ●Nimda病毒與CodeBlue病毒都是利用Unicode漏洞來感染攻擊IIS Server， 並感染*.HTM、*.HTML、*.ASP檔案，之後持續對其他網站發出攻擊行為。 ●User瀏覽中毒網頁會受到感染，用outlook開啟readme.eml檔案，並自動發病毒信。 ●此病毒會透過大量發信來散佈，其信件附帶檔為readme.exe ●大量的發信與攻擊他人網站，網際網路與區域網路流量大增， 將使資料的傳輸緩慢，癱瘓網路的使用。 ●會修改System.ini，讓病毒可以每次開機即啟動。 ●將自己複製到system目錄中，更名為RICHED32.DLL，並開始尋找區域網路中 所有*.EXE的檔案，刪除原檔，再複製自己取代原檔案。 ●會將C碟整個目錄共享出來，駭客可以透過遠端電腦監控所有C碟資料。 解毒方案： Nimda病毒正在網路流行，使用者應儘快到網軟網站更新程式，修補這些漏洞， 以免中毒。收到可疑的信件，例如：Nimda病毒病毒附帶檔案為readme.exe， 不要隨意開啟以免中毒ꄮ IE 5.x 的使用者 請至http://www.microsoft.com/technet/security/bulletin/MS01-020.asp下傳 修復程式，避免瀏覽中毒網頁就被感染。 IIS 的使用者 請至http://www.microsoft.com/technet/security/bulletin/MS01-044.asp 、http://www.microsoft.com/technet/security/bulletin/MS00-078.asp下傳 修復程式，以修正Unicode漏洞。 從病毒版抓下來的.. 不知有沒效 明天還要取搶救公司電腦 不知會不會無法辦公說.. -- ※ 發信站: 批踢踢實業坊(ptt.csie.ntu.edu.tw) ◆ From: 203.187.84.47 > -------------------------------------------------------------------------- < 作者: Jutta (Heinz) 看板: NTUMRC 標題: 另一篇解方法 時間: Wed Sep 19 22:41:58 2001 先說.. 我沒試過..因為不敢用 me 或 2000開機 過兩天我再裝修正程式 嘿.. 用 FreeBSD的好處就是不怕 w32的病毒 當然也是有動..SENDMAIL的動還沒補..不知會不會出事 發信人: edoctor.bbs@bbs.nsysu.edu.tw (電腦安全急救服뀬 信區: virus 標 題: [病毒公告] 請心心 Nimda 病毒!! 發信站: 中山計中美麗之島 (Wed Sep 19 19:23:17 2001) 轉信站: cis_nctu!news.cis.nctu!ctu-peer!news.nctu!spring!news.nsysu!Formosa 來 源: bbs.nsysu.edu.tw Nimda病毒攻擊兵分二路 IIS 與IE用戶請更新修正漏洞 本週發現一個具高度危險攻擊力的Nimda病毒，其攻擊兵分二路， 一、Server端：利用Unicode漏洞攻擊IIS Server，並感染HTM、HTML、ASP檔，之後持續對其他網站發出攻擊行為。 二、Client端：瀏覽中毒網頁的Client端會中毒，透過區域網路也會中毒， 會自動用Outlook開啟readme.e ml檔案，並自動發病毒信。由於病毒的散播快速，網路系統很容易就被癱瘓。 Nimda病毒內含訊息" Concept Virus(CV) V.5, Copyright(C)2001 R.P.China "， 散佈的相當快，已被列為高危險的一個病毒，除了國外有中毒情形， 目前國內也傳出災情。 病毒行為： ●Nimda病毒與CodeBlue病毒都是利用Unicode漏洞來感染攻擊IIS Server， 並感染*.HTM、*.HTML、*.ASP檔案，之後持續對其他網站發出攻擊行為。 ●User瀏覽中毒網頁會受到感染，用outlook開啟readme.eml檔案，並自動發病毒信。 ●此病毒會透過大量發信來散佈，其信件附帶檔為readme.exe ●大量的發信與攻擊他人網站，網際網路與區域網路流量大增， 將使資料的傳輸緩慢，癱瘓網路的使用。 ●會修改System.ini，讓病毒可以每次開機即啟動。 ●將自己複製到system目錄中，更名為RICHED32.DLL，並開始尋找區域網路中 所有*.EXE的檔案，刪除原檔，再複製自己取代原檔案。 ●會將C碟整個目錄共享出來，駭客可以透過遠端電腦監控所有C碟資料。 解毒方案： Nimda病毒正在網路流行，使用者應儘快到網軟網站更新程式，修補這些漏洞， 以免中毒。收到可疑的信件，例如：Nimda病毒病毒附帶檔案為readme.exe， 不要隨意開啟以免中毒ꄮ IE 5.x 的使用者 請至http://www.microsoft.com/technet/security/bulletin/MS01-020.asp下傳 修復程式，避免瀏覽中毒網頁就被感染。 IIS 的使用者 請至http://www.microsoft.com/technet/security/bulletin/MS01-044.asp 、http://www.microsoft.com/technet/security/bulletin/MS00-078.asp下傳 修復程式，以修正Unicode漏洞。 從病毒版抓下來的.. 不知有沒效 明天還要取搶救公司電腦 不知會不會無法辦公說.. -- ※ 發信站: 批踢踢實業坊(ptt.csie.ntu.edu.tw) ◆ From: 203.187.84.47