尼姆达病毒(Nimda)传播速度有多快？半小时内传遍全球的蠕虫病毒解析

hwyzw

    一、谶曰

    小白问大东：“生物病毒有传播很快的，那电脑病毒有快慢的区别吗？”

    大东有哦，给你举个例子呢！有一个软件传播得很快，它就是 Nimda ，Nimda 是传播最快的软件之一。

    小白：哦？这是什么病毒？

    大东：尼姆达病毒属于典型的蠕虫病毒，它是由脚本语言编写而成的。这种病毒能够通过 email 进行传播，也可以借助共享网络资源来传播，还能通过 IIS 服务器以及网页浏览等途径来传播。并且，它会修改本地驱动器上的.htm 文件、.html 文件和.asp 文件。此病毒还可以让 IE 以及加载产生.eml 病毒文件。

    病毒（图片来自网络）

    小白：哇，那它有多快呢？

    这种病毒在 2001 年 9 月 18 日上午 9 点 08 分被发现。半小时内它传遍了世界。它的传播范围和破坏程度比前一段时间极度肆虐的“红色代码”病毒大很多。

    小白：那可真是十分可怕了。

    二、话说事件

    小白：为什么它会这么大规模地爆发啊？

    尼姆达借助互联网得以迅速传播，在当时它是传播速度最快的病毒。互联网服务器是尼姆达病毒的主要攻击目标。尼姆达能够通过邮件等多种途径进行传播，这便是它能够迅速且大规模爆发的原因。

    小白：那它具体表现是什么呢？

    尼姆达病毒会在用户的操作系统里建立一个后门程序，这样侵入者就能拥有当前登录账户的权限。尼姆达病毒的传播导致很多网络系统崩溃，并且服务器资源都被蠕虫给占用了。从这种角度去看，尼姆达实际上也是 DDOS 的一种。

    病毒（图片来自网络）

   

    小白问大东：“我还是不太明白呢，你给我再介绍介绍这个病毒吧，比如说它是怎样传播的呀？”

    大东称该病毒会借助 email 进行传播。用户邮件正文若为空且看似没有附件，但实际上邮件中嵌入了病毒的执行代码。在用户未安装微软补丁包的情况下收取邮件，当他们预览邮件时，病毒已在不知不觉中开始执行。

    小白：那它是如何运作的呢？

    在正常运行过程中，病毒在加载、开端口、扫描弱口令以及感染等操作时会执行。它会将自身复制到临时目录，然后运行临时目录中的副本。病毒还会在特定目录生成 load.exe 文件，并且会修改.ini 中的 shell，把 shell=.exe 改为.exe load.exe -，这样一来，在下次系统启动时，病毒仍能被激活。

    小白：哇……还有什么呢？

    大东：在目录下，病毒会生成一个副本，这个副本是.dll。病毒为了通过邮件传播自己，使用了 MAPI 函数，该函数会读取用户的 email，并且从中读取 SMTP 地址和 email 地址。另外，病毒在运行时会运用执行系统里的一些命令，像 NET.EXE、USER.EXE、SHARE.EXE 等。它会把 Guest 用户添加到组（针对 NT/2000/XP），同时激活 Guest 用户，并且还会把 C 盘的根目录共享出来。

    小白：听起来还是个很复杂的病毒呢！

    三、大话始末

    大东：看你这么感兴趣，我再给你讲讲它的感染方式吧！

    小白：好啊好啊~

    Worms.Nimda 运行时会进行以下操作：搜索本地硬盘中的 HTM 和 HTML 文件以及邮箱，以从中找到 email 地址并发送邮件；搜索网络共享资源，把病毒邮件放入别人的共享目录中；利用病毒的方法攻击随机的 IP 地址，若遇到未安装补丁的 IIS 服务器，就会感染该病毒。该蠕虫利用它自身的 SMTP 服务器来发出邮件，并且通过已经配置好的 DNS 获取到一个 mail 服务器的地址。

    小白：就是收到邮件才会被攻击咯？

    大东说不止这样，Worms.Nimda 在运行时，会去查找本地的 HTM 文件和 ASP 文件，然后把生成的带毒邮件放置到这些文件当中，并且加入脚本。如此一来，每当那个网页被打开的时候，就会自动打开那个染毒的.eml 文件。

    病毒（图片来自网络）

    小白：这可真是防不胜防哦！

    大东说，该邮件是通过网络共享的。在资源管理器中选中该文件后，会自动预览该文件。但因为存在漏洞，导致蠕虫自动运行。所以，即使不打开文件，也会感染病毒。当病毒执行时，它会在目录下生成 MMC.EXE 文件，并把该文件的属性改为系统、隐藏。

    小白：然后也不会被发现？

   

    大东表示确实如此，病毒会将自身覆盖在目录下的.DLL 文件上。.DLL 文件是套件运行所必需的库，写字板等程序也需要用到这个动态库。只要是要使用这个动态库的程序启动，就会引发该病毒的激活。病毒会把自身复制到目录中，并改名为 load.exe，每当系统启动时，就会自动运行该病毒。病毒会建立一个 guest 的访问帐号，且是以超级管理员的权限来建立的，目的是允许别人进入本地系统。病毒还会改变设置，从而导致无法显示隐藏文件以及已知文件的扩展名。

    小白：天啊，还有哪些传播途径呢？

    它首先是感染文件，尼姆达病毒会定位系统中的 exe 文件，然后把病毒代码置入原文件体内，以此来实现对文件的感染。当用户执行这些文件时，病毒就会进行传播。其次是邮件乱发的情况。尼姆达病毒会借助 MAPI 从邮件的客户端以及 HTML 文件里去搜索邮件地址，接着把病毒发送给这些地址。这些邮件带有一个名为 eadme.exe 的附件，在系统（NT 以及 win9x 未安装相应补丁的情况下）中，这个 eadme.exe 能够自动运行，进而感染系统。

    小白：我知道，是不是还有网络蠕虫？

    大东真聪明，尼姆达病毒会进行扫描，它试图找到 www（万维网）主机和服务器。一旦找到服务器，病毒就会利用已知的系统漏洞来感染该服务器。如果发送成功，蠕虫将会随机修改该站点的 web 页。当用户浏览该站点时，就会被感染。还剩下最后一种，你要不要猜猜它叫什么名字？

    小白：我猜不到哦……告诉我吧，大东！

    最后一种是局域网。尼姆达病毒会搜索本地网络中的文件共享、文件服务器或终端客户机。它会在这些地方安装一个名为.dll 的隐藏文件，并且会将这个文件放入每一个包含 doc 和 eml 文件的目录中。当用户通过 word 或者写字板打开 doc 或 eml 文档时，相应的应用程序就会执行.dll 文件，进而完成感染。此外，该病毒还能够感染远程的在服务器上被启动的文件。

    病毒（图片来自网络）

    小白：那应该怎么删除呢？

    大东：现在的杀毒软件已经完全预防啦。

    小白：真不敢相信没有杀毒软件的时代怎么办？

    大东表示是有办法的哦。对于没有网络局域网的企业级用户以及没有网络版的反病毒（杀毒软件）的情况，清除的操作方法如下：可以通过热启动来结束此蠕虫病毒的进程，并且在系统的 temp 文件目录下删除病毒文件。使用约 100k 的无毒.dll 文件去替换 57344 字节的染毒同名.dll 文件，然后将系统目录下 57344 字节的 load.exe 文件彻底删除，同时把根目录下的 mmc.exe 文件也删除。

    小白：这样就可以了？

    在各逻辑盘的根目录下查找 Admin.DLL 文件，若有则删除这些病毒文件；查找文件名为.eml 的文件并删除；若用户使用的是 NT 或 2000 的操作系统的计算机，要打开“控制面板”，接着打开“用户和密码”，将组中 guest 帐号删除。

    小白：真是挺复杂的……