针对Nimda(尼姆达)标本兼治的安全解决方案

原创 2001年12月30日 15:36:00
一、Nimda黑客蠕虫病毒情况简介   
  肆虐全球的 CodeRed 红色代码蠕虫病毒的余波尚未平息,各网管还未来得及松一口气,又一种破坏力极强的新病毒已经开始象野火一样开始在互联网上蔓延开来,这种名为Nimda "尼姆达"的病毒于18日上午9:08被发现,半小时之内就传遍了世界,其传播范围和破坏程度将大大超过前一段时间极度肆虐的"红色代码"病毒。 据冠群金辰反病毒监测网的报告,我国各地均有病毒的感染案例,由于此病毒能通过多种方法攻击Win32系统,一种方法不行它会尝试另外一种方法攻击,直至成功,其攻击对网络造成的通信阻塞是空前的。目前已有多家报告因受此病毒攻击,造成网络瘫痪,其危害性不言而喻。   
  那么,这种病毒是通过何种手段造成如此巨大的破坏呢? 这个名为Nimda "尼姆达"的蠕虫病毒与以往的蠕虫病毒有很大不同,它可通过三种方式传播:Email附件、HTTP、硬盘共享,并且能感染所有32位Windows操作系统:Windows 98/Me, NT,2000, XP。   
  这种新病毒也是利用运行于视窗NT或视窗2000上的微软互联网服务器软件存在的安全隐患展开攻击,这一点与"红色代码"病毒相同,但它同时也可以感染客户端。即用户在浏览染毒的网页时就可能会受到感染。此病毒还通过Ooutlook,Outlook Express邮件客户端传播,会在用户访问带毒的邮件时在用户毫不知晓的情况下感染用户的系统,这一点又与前一段时间流行的邮件蠕虫病毒Happytime很相似。此外,它对系统共享也作了手脚,为每个盘符创建网络共享。在 Win9x/ME系统上,该共享被设置为完全共享,无需密码。在WinNT/2K系统上,GUEST用户被赋予管理员权限,并得到共享权限。在网络共享这一方面,又与Funlove病毒相似。   
  从上面的分析可以看到,此新病毒集各家之所长,从多方面利用了系统的漏洞,所以该种黑客蠕虫病毒的危害非常大,并且来势汹汹,事实上这种黑客蠕虫病毒已经远远超越了反病毒的范畴,而且从最近病毒爆发的情况来看,这种病毒代表了未来病毒的发展趋势。通过单一的防病毒产品很难解决Nimda及未来的各种类似病毒,治理Nimda们需要一个完善的安全解决方案。

二、整体解决方案    当务之急是我们要先解决和防御Nimda带来的破坏,另外我们需要比以往任何时候都要重视网络安全的问题,通过构建自身有效的安全防御系统来亡羊补牢、防患于未然。 解决然眉之急--Nimda的清查方案 可按照如下步骤手动清毒:
1, 从微软网站 http://www.microsoft.com/technet/security/bulletin/ms00-078.asp 和 http://www.microsoft.com/technet/security/bulletin/MS01-020.asp 下载相应补丁并执行,然后关闭本机的所有共享。
2,按ctrl-alt-del,结束 "xxx.tmp.exe"以及"Load.exe"的进程。
3,删除temp目录中的文件。
4,用干净的 Riched20.DLL(大约100k)文件替换染毒的同名Riched20.DLL文件(57344字节)。
5,删除系统目录下的load.exe文件(57344字节),windows根目录下的mmc.exe文件,在C:/、D:/、E:/三个逻辑盘的根目录下如果有Admin.DLL文件,删除这些文件,查找文件名为Readme.eml的文件,删除它。
6,System.ini文件[load]中如果有一行"shell=explorer.exe load.exe -dontrunold",改为"shell=explorer.exe"
7,删除HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Network/LanMan/ 和HKLM/Software/Microsoft/Windows/CurrentVersion/Explorer/MapMail/ 的键值。
8, 如果是WinNT或者Win2000,打开"控制面板|用户和密码",将Administrator组中的guest帐号删除。 KILL的最新病毒特征码28.06已可查杀此病毒。
   从最近几次病毒的大规模爆发可看到,它们的肆虐主要是利用了系统的漏洞,如这次Nimda就利用了Microsoft Web Folder Transversal漏洞(W32/CodeBlue病毒也使用了此漏洞)和 Microsoft incorrect MIME Header 漏洞。它还利用了W32/CodeRed.c蠕虫创建的后门。如果服务器的安全性足够高,不存在可利用的安全漏洞和隐患的话,Nimda和未来的Nimda们则没有发作或传播的可能性。所以我们根治Nimda和类似黑客蠕虫病毒的方法是提高服务器系统本身的安全性。

NIMDA娜妲(尼姆达)病毒部分反汇编代码

病毒数据串 " .exe" " -dontrunold" " -qusery9bnow" "% Privileged Time" "% Processor Time" "% User Time" "%...
  • ucshng
  • ucshng
  • 2007年06月05日 16:51
  • 1211

NIMDA病毒危害及清除和免疫

天网公布NIMDA病毒危害及清除和免疫新方案 -----------------------------------------------------------------------------...
  • ghj1976
  • ghj1976
  • 2001年09月21日 09:39
  • 2204

Web 安全解决方案一览

Web 安全解决方案一览发布日期: 11/29/2004 | 更新日期: 11/29/2004查看全部的安全性指南主题Microsoft Corporation在本单元中本单元包括一个总结了在提高 W...
  • Aimar168
  • Aimar168
  • 2004年12月10日 15:45
  • 978

Android应用安全现状与解决方案

**    安全对一些涉及到直接的金钱交易或个人隐私相关的应用的重要性是不言而喻的。Android系统由于其开源的属性,市场上针对开源代码定制的ROM参差不齐,在系统层面的安全防范和易损性都不一样,...
  • u010952965
  • u010952965
  • 2015年12月03日 15:10
  • 2854

大型企业局域网安全解决方案

第一章 总则 本方案为某大型局域网网络安全解决方案,包括原有网络系统分析、安全需求分析、安全目标的确立、安全体系结构的设计、等。本安全解决方案的目标是在不影响某大型企业局域网当前业务的前提下,实现对他...
  • jj97007
  • jj97007
  • 2004年10月14日 11:52
  • 2197

常见web安全隐患及解决方案

Abstract 有关于WEB服务以及web应用的一些安全隐患总结资料。   1. 常见web安全隐患   1.1.       完全信赖用户提交内容   开发人员决不能相信一...
  • jiangfeng08
  • jiangfeng08
  • 2011年09月05日 17:40
  • 3102

构建一个安全的软件系统时,可能遇到的风险及解决方案(未完)

对系统安全的破坏除了由组件自身造成之外,也可以发生的组件之间,尤其在这些组件共享单核CPU及内存子系统时。 下表整理了一些常见的问题源: 问题 描述 资源占用 非法的使用文件描述符,M...
  • coroutines
  • coroutines
  • 2015年06月28日 21:41
  • 1623

远程安全接入解决方案

摘要:作为一种成熟有效的低成本广域网互联解决方案,通过VPN技术实现远程安全接入已经得到了普遍的接受和广泛的应用。通过VPN,可以让远程的分支机构、移动办公用户乃至于合作伙伴在一个类似于局域网的环境下...
  • Galdys
  • Galdys
  • 2011年09月01日 14:44
  • 883

SSL安全解决方案(转)

背景及部分安全知识在高度保证应用程序安全的过程中我们不免会考虑到如下的安全需求,然后根据这些安全需求提出各种安全技术:1. 完整性验证。即防止我们的内容在网络传输的过程中不被篡改,不失其真实性。我们可...
  • photnman
  • photnman
  • 2005年06月06日 16:06
  • 2576

JavaWeb 安全问题及解决方案

1.弱口令漏洞,最好使用至少6位的数字、字母及特殊字符组合作为密码。数据库不要存储明文密码,应存储MD5加密后的密文,由于目前普通的MD5加密已经可以被破解,最好可以多重MD5加密。   ...
  • mijinghjb
  • mijinghjb
  • 2014年11月14日 10:37
  • 1604
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:针对Nimda(尼姆达)标本兼治的安全解决方案
举报原因:
原因补充:

(最多只允许输入30个字)