微軟網站對NIMDA病毒的說明以及補丁方案

火玫瑰

摘要：一種正式名稱為“W32/Nimda@MM”的新型蠕蟲病毒正在Internet上四處傳播，許多用戶已經受到了該病毒的感染。Microsoft正在會同防病毒公司和其它安全專家對這種病毒進行分析研究。如果您還沒有安裝相應的軟件升級或補丁，您的計算機可能會感染上這種病毒。

您應該采取的操作

最終用戶

為防止計算機通過e-mail渠道被感染，請用以下產品之一升級您的Internet Explorer：

Microsoft 安全公告（Security Bulletin） MS01-020提供的補丁程序

Internet Explorer 5.01 Service Pack 2.
http://www.microsoft.com/windows/ie/downloads/recommended/ie501sp2/default.asp

Internet Explorer 5.5 Service Pack 2.
http://www.microsoft.com/windows/ie/downloads/recommended/ie55sp2/default.asp

Internet Explorer 6
http://www.microsoft.com/windows/ie/downloads/ie6/default.asp

系統管理員

防止系統感染上紅色代碼II（Code Red II）蠕蟲病毒，并且使用我們提供的工具修復已被該病毒感染的系統。（Code Red II病毒會在系統中留下“后門”，而Nimda病毒會利用這個“后門”）
通過應用或安裝任何一種以下產品，消除“Web Server Folder Traversal”漏洞：
應用Microsoft Security Bulletin MS00-057中提供的補丁程序
應用Microsoft Security Bulletin MS00-078中提供的補丁程序
應用Microsoft Security Bulletin MS00-086中提供的補丁程序
應用Microsoft Security Bulletin MS00-026中提供的補丁程序
應用Microsoft Security Bulletin MS01-044中提供的補丁程序
安裝Windows 2000 Service Pack 2
安裝Windows NT 4.0 Security Roll-up Package
以默認模式安裝IIS Lockdown Tool
以默認的規(guī)則集安裝URLScan工具
通過關閉所有計算機的權限防止病毒通過文件共享進行傳播
附加信息

病毒的正式名稱為W32/Nimda@MM，但是該病毒通常還被叫做“Nimda”蠕蟲病毒。它會試圖通過以下三種不同的方式進行傳播：

Email：受感染的計算機會嘗試通過e-mail發(fā)送病毒副本來傳染其它用戶。

Web服務器：受感染的計算機會嘗試通過尋找已經受到破壞的Web服務器或利用已知的IIS服務器漏洞來傳染其它的Web服務器。

文件共享：受到感染的計算機會對系統進行搜索，試圖找到一個被配置為允許任何人向其中添加文件的共享文件夾。如果找到這樣的一個文件夾，它將向其中寫入受感染的文件。

Email

蠕蟲病毒會利用在Microsoft Security Bulletin MS01-020中討論過的安全漏洞將自身藏在郵件中，并向其他用戶發(fā)送一個病毒副本來進行傳播。正如在公告中所描述的那樣，該漏洞存在于Internet Explorer之中，但是可以通過e-mail來利用。只需簡單地打開郵件就會使機器感染上病毒 — 并不需要您打開郵件附件。

防病毒廠商正在開發(fā)能檢測和清除病毒郵件的升級掃描工具。但是即使使用了這些工具，您也必須應用IE的補丁或安裝IE的升級版本來消除這個漏洞。那些已經安裝了上面所列出的IE升級程序的用戶不會因為郵件而受到病毒的感染。

Web 服務器

該病毒攻擊IIS 4.0和5.0Web服務器，它主要通過兩種手段來進行攻擊：第一，它檢查計算機是否已經被Code Red II病毒所破壞，因為Code Red II病毒會創(chuàng)建一個“后門”，任何惡意用戶都可以利用這個“后門”獲得對系統的控制權。如果Nimda 病毒發(fā)現了這樣的機器，它會簡單地使用Code Red II病毒留下的后門來感染機器。第二，病毒會試圖利用“Web Server Folder Traversal”漏洞來感染機器。如果它成功地找到了這個漏洞，病毒會使用它來感染系統。

可以使用工具來刪除Code Red II蠕蟲病毒留下的后門。但是，最好的做法是按照上面步驟1中的指示，一并防止受到Code Red II病毒的感染。

文件共享

病毒傳播的最后一種手段是通過文件共享來進行傳播。Windows系統可以被配置成允許其他用戶讀寫系統中的文件。允許所有人都可以訪問您的文件會導致很糟糕的安全性，而且默認情況下，Windows系統僅僅允許授權用戶訪問系統中的文件。然而，如果病毒發(fā)現系統被配置為其他用戶可以在系統中創(chuàng)建文件，它會在其中添加文件來傳播病毒。您可以使用Microsoft個人安全顧問（Personal Security Advisor）來檢查您的系統是否存在錯誤的共享配置

更多資源

Microsoft將繼續(xù)對病毒進行研究，并將根據研究結果提供升級信息。與此同時，您可以從以下資源獲取相應的附加信息：

·CERT Coordination Center （http://www.cert.org/current/current_activity.html#port80）
·Symantec Security Response （http://www.sarc.com/avcenter/venc/data/w32.nimda.a@mm.html）
·Network Associates
（http://vil.nai.com/vil/virusSummary.asp?virus_k=99209）

biantai

感覺很奇怪，一個去年7月的漏洞，而且在sql server sp3中修補好了
那么多網站的DBA都沒有去打補��？安全意識是在是差