ITPub博客

首页 > IT基础架构 > 网络安全 > 新病毒尼姆达的防御 (转)

新病毒尼姆达的防御 (转)

原创 网络安全 作者:worldblog 时间:2007-12-09 10:39:59 0 删除 编辑
新病毒尼姆达的防御 (转)[@more@]

尼姆达是一种邮件病毒,以.eml的形式存在,它利用了Outlook漏洞,当你点击(单击)带毒邮件文件时或用OUTLOOK浏览邮件时,系统自动提取邮件中的README.EXE,README.EXE将在windows 的temp目录下产生mep****.tmp,mep****.tmp.exe(具有隐藏属性,外表是一个IE图标,让人以为是一个.HTML,)。可用查看进程信息的工具查看正在运行的进程,如果发现mep****.tmp.exe的进程应马上终止。
比如在本人机子产生的文件如下:mep52a5.tmp ,mep52a5.tmp.exe 还有mep52a6.tmp.exe(无用),mep52a6.tmp。然后mep52a5.tmp.exe将被运行它将进行传染等工作(具体传染和破坏功能正在研究中,粗提上看与蓝色代码类似)。

在带毒邮件中有如下特点:

<!--StartFragment-->--====_ABC1234567890DEF_====
Content-Type: audio/x-wav;  //////////关键
name="readme.exe"  ////////////关键
Content-Transfer-Encoding: base64
Content-ID:

在SYSTEM.INI中发现如下修改:

[boot]
shell=explorer.exe load.exe -dontrunold

在WINDOWSSYSTEM目录下发现LOAD.EXE(IE图标,属性隐藏)

如发现以上状况说明你的机子以被感染了.
防御如下(WIN9X/ME):
 安装保护硬盘程序如:冰盾V(内带的硬盘保护)、文件保护大师1.01(内带的硬盘保护卡)等。把虚拟内存设到别的地方(只要不和WINDOWS目录在一个驱动器),把INTE.NET的临时文件夹设到别的地方(只要不和WINDOWS目录在一个驱动器).
运行硬盘保护,选择windows目录所在的驱动器保护ok。这样病毒将无法进入你的系统,你上网就安全了。(这只是临时预防,关键是下载OUTLOOK补丁和最新的杀毒软件)


来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/10752043/viewspace-990441/,如需转载,请注明出处,否则将追究法律责任。

请登录后发表评论 登录
全部评论
  • 博文量
    6241
  • 访问量
    2448596