Readme.exe(Nimda)病毒主要通过被感染的电子邮件、网络共享和互联网站传播。被感染的电子邮件将包含一个名为README.EXE的附件。通过一些版本Outlook、Outlook Express和Internet Explorer中的MIME漏洞,不用双基附件,这一病毒就可以自动运行。
同时,这一病毒还会将自己拷贝到Windows目录,该名为Load.exe和Riched20.dll(都是隐藏文件)。通过在System.ini文件中加入
shell=explorer.exe load.exe -dontrunold
使系统在启动时自动运行病毒程序。
通过查找网络共享,这一病毒会向每一个共享目录中发送自己。
通过对IIS服务器“统一代码地址遍历缺陷”的攻击,他将试图对网站上的
index.html
index.htm
index.asp
readme.html
readme.htm
readme.asp
main.html
main.htm
main.asp
default.html
default.htm
default.asp
文件进行更改,在文件末尾加入Javascript代码。
如果使用有缺陷的IE浏览这些网页,会自动下载一个名为readme.eml的文件,用户一旦打开这一文件,病毒就会自动执行,重复上述感染过程。
为防不测,建议各位用户赶快下载病毒代码。