微軟網(wǎng)站對(duì)NIMDA病毒的說明以及補(bǔ)丁方案

火玫瑰

摘要：一種正式名稱為“W32/Nimda@MM”的新型蠕蟲病毒正在Internet上四處傳播，許多用戶已經(jīng)受到了該病毒的感染。Microsoft正在會(huì)同防病毒公司和其它安全專家對(duì)這種病毒進(jìn)行分析研究。如果您還沒有安裝相應(yīng)的軟件升級(jí)或補(bǔ)丁，您的計(jì)算機(jī)可能會(huì)感染上這種病毒。

您應(yīng)該采取的操作

最終用戶

為防止計(jì)算機(jī)通過e-mail渠道被感染，請(qǐng)用以下產(chǎn)品之一升級(jí)您的Internet Explorer：

Microsoft 安全公告（Security Bulletin） MS01-020提供的補(bǔ)丁程序

Internet Explorer 5.01 Service Pack 2.
http://www.microsoft.com/windows/ie/downloads/recommended/ie501sp2/default.asp

Internet Explorer 5.5 Service Pack 2.
http://www.microsoft.com/windows/ie/downloads/recommended/ie55sp2/default.asp

Internet Explorer 6
http://www.microsoft.com/windows/ie/downloads/ie6/default.asp

系統(tǒng)管理員

防止系統(tǒng)感染上紅色代碼II（Code Red II）蠕蟲病毒，并且使用我們提供的工具修復(fù)已被該病毒感染的系統(tǒng)。（Code Red II病毒會(huì)在系統(tǒng)中留下“后門”，而Nimda病毒會(huì)利用這個(gè)“后門”）
通過應(yīng)用或安裝任何一種以下產(chǎn)品，消除“Web Server Folder Traversal”漏洞：
應(yīng)用Microsoft Security Bulletin MS00-057中提供的補(bǔ)丁程序
應(yīng)用Microsoft Security Bulletin MS00-078中提供的補(bǔ)丁程序
應(yīng)用Microsoft Security Bulletin MS00-086中提供的補(bǔ)丁程序
應(yīng)用Microsoft Security Bulletin MS00-026中提供的補(bǔ)丁程序
應(yīng)用Microsoft Security Bulletin MS01-044中提供的補(bǔ)丁程序
安裝Windows 2000 Service Pack 2
安裝Windows NT 4.0 Security Roll-up Package
以默認(rèn)模式安裝IIS Lockdown Tool
以默認(rèn)的規(guī)則集安裝URLScan工具
通過關(guān)閉所有計(jì)算機(jī)的權(quán)限防止病毒通過文件共享進(jìn)行傳播
附加信息

病毒的正式名稱為W32/Nimda@MM，但是該病毒通常還被叫做“Nimda”蠕蟲病毒。它會(huì)試圖通過以下三種不同的方式進(jìn)行傳播：

Email：受感染的計(jì)算機(jī)會(huì)嘗試通過e-mail發(fā)送病毒副本來傳染其它用戶。

Web服務(wù)器：受感染的計(jì)算機(jī)會(huì)嘗試通過尋找已經(jīng)受到破壞的Web服務(wù)器或利用已知的IIS服務(wù)器漏洞來傳染其它的Web服務(wù)器。

文件共享：受到感染的計(jì)算機(jī)會(huì)對(duì)系統(tǒng)進(jìn)行搜索，試圖找到一個(gè)被配置為允許任何人向其中添加文件的共享文件夾。如果找到這樣的一個(gè)文件夾，它將向其中寫入受感染的文件。

Email

蠕蟲病毒會(huì)利用在Microsoft Security Bulletin MS01-020中討論過的安全漏洞將自身藏在郵件中，并向其他用戶發(fā)送一個(gè)病毒副本來進(jìn)行傳播。正如在公告中所描述的那樣，該漏洞存在于Internet Explorer之中，但是可以通過e-mail來利用。只需簡(jiǎn)單地打開郵件就會(huì)使機(jī)器感染上病毒 — 并不需要您打開郵件附件。

防病毒廠商正在開發(fā)能檢測(cè)和清除病毒郵件的升級(jí)掃描工具。但是即使使用了這些工具，您也必須應(yīng)用IE的補(bǔ)丁或安裝IE的升級(jí)版本來消除這個(gè)漏洞。那些已經(jīng)安裝了上面所列出的IE升級(jí)程序的用戶不會(huì)因?yàn)猷]件而受到病毒的感染。

Web 服務(wù)器

該病毒攻擊IIS 4.0和5.0Web服務(wù)器，它主要通過兩種手段來進(jìn)行攻擊：第一，它檢查計(jì)算機(jī)是否已經(jīng)被Code Red II病毒所破壞，因?yàn)镃ode Red II病毒會(huì)創(chuàng)建一個(gè)“后門”，任何惡意用戶都可以利用這個(gè)“后門”獲得對(duì)系統(tǒng)的控制權(quán)。如果Nimda 病毒發(fā)現(xiàn)了這樣的機(jī)器，它會(huì)簡(jiǎn)單地使用Code Red II病毒留下的后門來感染機(jī)器。第二，病毒會(huì)試圖利用“Web Server Folder Traversal”漏洞來感染機(jī)器。如果它成功地找到了這個(gè)漏洞，病毒會(huì)使用它來感染系統(tǒng)。

可以使用工具來刪除Code Red II蠕蟲病毒留下的后門。但是，最好的做法是按照上面步驟1中的指示，一并防止受到Code Red II病毒的感染。

文件共享

病毒傳播的最后一種手段是通過文件共享來進(jìn)行傳播。Windows系統(tǒng)可以被配置成允許其他用戶讀寫系統(tǒng)中的文件。允許所有人都可以訪問您的文件會(huì)導(dǎo)致很糟糕的安全性，而且默認(rèn)情況下，Windows系統(tǒng)僅僅允許授權(quán)用戶訪問系統(tǒng)中的文件。然而，如果病毒發(fā)現(xiàn)系統(tǒng)被配置為其他用戶可以在系統(tǒng)中創(chuàng)建文件，它會(huì)在其中添加文件來傳播病毒。您可以使用Microsoft個(gè)人安全顧問（Personal Security Advisor）來檢查您的系統(tǒng)是否存在錯(cuò)誤的共享配置

更多資源

Microsoft將繼續(xù)對(duì)病毒進(jìn)行研究，并將根據(jù)研究結(jié)果提供升級(jí)信息。與此同時(shí)，您可以從以下資源獲取相應(yīng)的附加信息：

·CERT Coordination Center （http://www.cert.org/current/current_activity.html#port80）
·Symantec Security Response （http://www.sarc.com/avcenter/venc/data/w32.nimda.a@mm.html）
·Network Associates
（http://vil.nai.com/vil/virusSummary.asp?virus_k=99209）

biantai

感覺很奇怪，一個(gè)去年7月的漏洞，而且在sql server sp3中修補(bǔ)好了
那么多網(wǎng)站的DBA都沒有去打補(bǔ)��？安全意識(shí)是在是差