本文目录
白色信封式的病毒是什么啊
readme.eml 名为:尼姆达病毒,通常是由e-mail传播的如果使用outlook接收邮件的话根本不需要打开附件,只要看过邮件就中招了如果IE没有补丁就会自动下载readme.eml文件,弄得到处都是NIMDA病毒清除和免疫新方案Windows Nt/2000/XP的手工清除方法1、结束其中进程名称为“xxx.tmp.exe”以及“Load.exe”的进程(xxx为任意文件名)2、删除系统temp文件夹中文件长度为57344的文件3、删除系统System文件夹中的长度为57344字节的Riched20.DLL文件及load.exe4、打开System.ini文件,在中如果有一行“shell=explorer.exe load.exe -dontrunold”,则改为“shell=explorer.exe”5、在硬盘区的根目录下寻找Admin.DLL文件,如果在根目录下存在该文件,则删除它6、打开“控制面板|用户和密码”,将Administrator组中的guest帐号删除7、把C盘的完全共享取消掉8、搜索整个硬盘,把所有readme.eml的文件删除,这时在你没有对系统进行免疫修复前,请不要点击任何readme.eml文件,用ctrl+A选取全部readme.eml文件,删除掉,如果单击了单个readme.eml文件,NIMDA病毒病毒将利用你的系统漏洞重新运行。“尼姆达”病毒专杀工具
readme.eml是什么病毒要怎么杀
readme.eml病毒的清除方法
.Opm259
{
display:none;
}
readme.eml
名为:尼姆达病毒,通常是由e-mail传播的如果使用outlook接收邮件的话根本不需要打开附件,只要看过邮件就中招了如果IE没有补丁就会自动下载readme.eml文件,弄得到处都是NIMDA病毒清除和免疫新方案Windows
Nt/2000/XP的手工清除方法1、结束其中进程名称为“xxx.tmp.exe”以及“Load.exe”的进程(xxx为任意文件名)2、删除系统temp文件夹中文件长度为57344的文件3、删除系统System文件夹中的长度为57344字节的Riched20.DLL文件及load.exe4、打开System.ini文件,在中如果有一行“shell=explorer.exe
load.exe
-dontrunold”,则改为“shell=explorer.exe”5、在硬盘区的根目录下寻找Admin.DLL文件,如果在根目录下存在该文件,则删除它6、打开“控制面板|用户和密码”,将Administrator组中的guest帐号删除7、把C盘的完全共享取消掉8、搜索整个硬盘,把所有readme.eml的文件删除,这时在你没有对系统进行免疫修复前,请不要点击任何readme.eml文件,用ctrl+A选取全部readme.eml文件,删除掉,如果单击了单个readme.eml文件,NIMDA病毒病毒将利用你的系统漏洞重新运行。
尼姆达病毒的感染方式
Worms.Nimda运行时,会搜索本地硬盘中的HTM和HTML文件和EXCHANGE邮箱,从中找到EMAIL地址,并发送邮件;搜索网络共享资源,并将病毒邮件放入别人的共享目录中;利用CodeBlue病毒的方法,攻击随机的IP地址,如果是IIS服务器,并未安装补丁,就会感染该病毒。该蠕虫用它自己的SMTP服务器去发出邮件。同时用已经配置好的DNS获得一个mail服务器的地址。
Worms.Nimda运行时,会查找本地的HTM/ASP文件,将生成的带毒邮件放入这些文件中,并加入JavaScript脚本。这样,每当该网页被打开时,就自动打开该染毒的readme.eml。
Worms.Nimda感染本地PE文件时,有两种方法,一种是查找所有的Wondows应用程序(在HKEY_LOCAL_MACHINE/Software/Microsoft/Wondows/Currentversion/AppPaths中),并感染,但不感染WINZIP32.EXE。
第二种方法搜索所有文件,并试图感染之。被感染的文件会增大约57KB。如果用户游览了一个已经被感染的web页时,就会被提示下载.eml(OutlookExpress)的电子邮件文件,该邮件的MIME头是一个非正常的MIME头,并且它包含一个附件,即此蠕虫。
该邮件通过网络共享,Wondows的资源管理器中选中该文件,Wondows将自动预览该文件,由于OutlookExpress漏洞,导致蠕虫自动运行,因此即使不打开文件,也会感染病毒。当病毒执行,它会在Wondows目录下生成MMC.EXE文件,并将其属性改为系统、隐藏。病毒会用自己覆盖SYSTEM目录下的Rlched20.DLL,Rlched20.DLL文件是Office套件运行的必备库,写字板等也要用到这个动态库,任何要使用这个动态库的程序启动,就会激活该病毒。病毒将自己复制到system目录下,并改名为load.exe,系统每次启动时,自动运行该病毒。病毒会以超级管理员的权限建立一个guest的访问帐号,以允许别人进入本地的系统。病毒改变Explorer的设置这样就让它无法显示隐藏文件和已知文件的扩展名。-什么
尼姆达病毒的介绍
尼姆达病毒(Nimda)是典型的蠕虫病毒,病毒由JavaScript脚本语言编写,病毒通过email、共享网络资源、IIS服务器、网页浏览传播,修改本地驱动器上的.htm,.html和.asp文件。此病毒可以使IE和Outlook Express加载产生readme.eml病毒文件。该文件将尼姆达蠕虫作为附件,不需要拆开或运行这个附件病毒就被执行。-么
什么是尼姆达病毒
Nimda病毒不但发送染毒邮件,还会感染EXE文件。目前声称能处理该病毒的反病毒公司都采取删除染毒文件的方式杀毒,导致很多重要程序不能运行,甚至机器瘫痪。瑞星公司推出世界上唯一可安全清除染毒文件的方法,不但可以清除染毒文件,还可清除内存中的病毒,确保杀毒之后系统正常运行。
Worms.Nimda 是一个新型蠕虫,也是一个病毒,它通过email、共享网络资源、IIS服务器传播。同时,它也是一个感染本地文件的新型病毒。
Worms.Nimda运行时搜索本地硬盘中的HTM、HTML文件和EXCHANGE邮箱,从中找到EMAIL地址,并向这些地址发送邮件;搜索网络共享资源,并试图将带毒邮件放入别人的共享目录;利用CodeBlue病毒的方法攻击随机IP地址,如果是未安装补丁的IIS服务器就会中毒。该蠕虫用它自己的SMTP服务器发送邮件,同时用已经配置好的DNS获得一个mail服务器地址。
Worms.Nimda运行时查找本地的HTM/ASP文件,将生成的带毒邮件放入这些文件中,并加入JavaScript脚本:。这样,每当该网页被打开时,就会自动打开该染毒的readme.eml。
Worms.Nimda用两种方法感染本地PE文件:一种是查找所有的WINDOWS 应用程序(在HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Currentversion/App Paths中),并试图感染,但不感染WINZIP32.EXE;第二种方法搜索所有文件,并试图感染,被感染的文件会增大约57KB。
如果用户浏览一个已经被感染的web 页时,会被提示下载一个.eml(Outlook Express)的电子邮件文件。该邮件的MIME头是一个非正常的MIME头,它包含一个附件--即此蠕虫。这种邮件也可能是别人通过网络共享存入你的计算机,也可能是在别人的共享目录中。无论如何,只要你在WINDOWS的资源管理器中选中该文件,WINDOWS将自动预览该文件。由于Outlook Express的一个漏洞导致蠕虫自动运行,因此,即使你不打开文件也可能中毒。相关信息请参见微软安全网站:-什么
尼姆达病毒的特征如题 谢谢了
尼姆达病毒的传播可以通过四种方式:
1)感染文件2)乱发邮件3)网络蠕虫4)局域网传播
--感染文件
尼姆达病毒定位本机系统中的EXE文件,并将病毒代码置入原文件体内,从而达到对文件的感染,当用户执行这些文件的时候,病毒进行传播。
--乱发邮件
尼姆达病毒利用MAPI从邮件的客户端及HTML文件中搜索邮件地址,然后将病毒发送给这些地址,这些邮件包含一个名为README.EXE的附件,在某些系统(NT及win9x未安装相应补丁)中该README.EXE能够自动执行,从而感染整个系统。
--网络蠕虫尼姆达病毒还会扫描internet,试图找到www主机,一旦找到这样的服务器,蠕虫便会利用已知的系统漏洞来感染该服务器,如果成功,蠕虫将会随机修改该站点的WEB页,当用户浏览该站点时,不知不觉中便被感染。(好恐怖!)
--局域网传播
尼姆达病毒还会搜索本地网络的文件共享,无论是文件服务器还是终端客户机,一旦找到,便安装一个隐藏文件,名为RICHED20.DLL到每一个包含DOC和EML文件的目录中,当用户通过word、写字板、outlook打开DOC或EML文档时,这些应用程序将执行RICHED20.DLL文件,从而使机器被感染。同时该病毒还可以感染远程的在服务器被启动的文件。
麻烦采纳,谢谢!-么
