找到了..


在被感染的asp程式中找關鍵字 "readme "就可以看到一排字串


"<html><script language="JavaScript">window.open("readme.eml", null, "resizable=no,top=6000,left=6000")</script></html>"


將此字串刪除就不會再出現一個" 找不到網頁 "的視窗了~~~蠻累人的..@@
因為要是有一個站台都是用asp寫的(如snitz)那不就....


不知道有沒有快一點的方法內..~

目前所知的方法是,先下載IE的修補檔,有IIS的也先下載修補檔,再灌防毒軟體(趨勢,賽門鐵克)liveupdate,拔掉網路線,掃毒,再修補之前的檔.

Hmm... 我碰到的大概是已經變種過的, 跟前面所說的症狀不太一樣

[發病前]
已由 Trend ScanMail for Exchange (趨勢電子郵件防毒軟體) 發現並刪除其附件 NINJING.BAT,
信件本文為我公司某客戶發給我的信函, 內容正常為一般商業書信往來,
但是也因為如此失去戒心, 將其開啟後便感染病毒

[症狀]
病毒掃描 outlook 寄件備份匣, 將裡面的信件轉存為 eml 格式的檔案, 並儲存在你電腦
中所有有開資源分享的目錄裡, 目錄裡同時可以發現一個名為 riched20.dll 的檔案

*** 我想這就是這隻病毒最大的特點, 它等於沒有固定的本文格式, 而是將你的寄件夾帶
病毒之後發送出去, 因此當你朋友收到之後會認為是一般正常的信件, 而開啟導致中毒 ***

傳播途徑除透過 e-mail 之外, 區域網路(資源共享), iis 服務 皆可傳播病毒

此外在宿主的電腦 Windows\system 裡可以發現 Load.exe 這個檔案 以及 Windows\temp
裡會有數個 xxxxxxx.tmp.exe 檔案

[手動移除]

1. 拔掉網路線, 尤其是同一區網內的電腦都中毒的話, 不拔掉會互相感染, 殺不勝殺
2. 開啟 system.ini, 找到 shell=explorer.exe 這個字串, 正常情況之下, explorer.exe
之後應該沒有任何的字串, 若有的話, 將之全部刪掉, 然後存檔重新開機
3. 開機之後將先前所提的 load.exe / xxxxxxxx.tmp.exe / *.eml 所有檔案 /
riched20.dll 刪除(這個病毒檔應該只有 40 幾K, 而且只存在於你有開分享的目錄中)

Nimda的電腦病毒這個蠕蟲(Worm)會以三種不同的方式散播，包括：
利用電子郵件e-mail、資源分享及透過IIS 並且啟動"IIS Web Directory Traversal exploit"服務的主機，當蠕蟲(Worm)利用e-mail散播時，信件會夾帶readme.exe或 readme.wav 或 readme.com等檔案,執行檔案時.會在C:\Windows\Temp內建立meXXXXX.tmp.exe暫存檔檔案，這個檔案是e-mail格式，並且包含蠕蟲(Worm)所夾帶的病毒檔案


微軟修補檔下載:
IE 5.x 的使用者：修復 IE 5.x 的網址(MS01-020)
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp


IIS 的使用者：
修復 IIS 的網址(MS01-044)
http://www.microsoft.com/technet/security/bulletin/MS01-044.asp


修復 IIS 的網址(MS00-078)
http://www.microsoft.com/technet/security/bulletin/MS00-078.asp


詳情可參考以下網站說明及介紹
台灣網路危機處理中心
http://www.cert.org.tw/news/25.htm


Symantec較詳細的移除說明
http://www.symantec.com/avcenter/venc/data/[email protected]


PC-cillin（趨勢科技）提供的移除說明
http://www.trend.com.tw/EncyclopediaV2/vinfo/virusencyclo/blacklist.htm

不知道是否有人注意到將Nimda反過來唸剛好是Admin,這是WINDOWS作業系統的主要控制者.
而且攻擊對象好像都是Microsoft作業系統.

Nimda直接唸是不是很像〝你媽的〞

我的机器已经中了毒。
而且硬盘整个数据已经丢失了。

請教一下我的IE版本是5.01
為何要執行IE修正檔時
卻出現"此系統不需要安裝這更新組件"
這個訊息?,謝謝

是呀！
我們公司是區域網路！
病毒一直層出不窮！
真的感覺好無力喔！
:mad:

最初由 kc029894
請教一下我的IE版本是5.01
為何要執行IE修正檔時
卻出現"此系統不需要安裝這更新組件"
這個訊息?,謝謝

http://www.microsoft.com/taiwan/support/content/nimda.htm
有提到:

IE 5.01 -> IE 5.00.2919
IE 5.01 SP1 -> IE 5.00.31xx
IE 5.01 SP2 -> IE 5.00.33xx
IE 5.5 -> IE 5.50.4131
IE 5.5 SP1 -> IE 5.50.4522
IE 5.5 SP2 -> IE 5.50.4807

如果您的 IE 是 SP2 版, 則不需要更新.:rolleyes: