软件工程

本类阅读TOP10

·PHP4 + MYSQL + APACHE 在 WIN 系统下的安装、配置
·Linux 入门常用命令(1)
·Linux 入门常用命令(2)
·使用 DCPROMO/FORCEREMOVAL 命令强制将 Active Directory 域控制器降级
·DirectShow学习(八): CBaseRender类及相应Pin类的源代码分析
·基于ICE方式SIP信令穿透Symmetric NAT技术研究
·Windows 2003网络负载均衡的实现
·一网打尽Win十四种系统故障解决方法
·数百种 Windows 软件的免费替代品列表
·收藏---行百里半九十

分类导航
VC语言Delphi
VB语言ASP
PerlJava
Script数据库
其他语言游戏开发
文件格式网站制作
软件工程.NET开发
新病毒尼姆达的防御

作者:未知 来源:月光软件站 加入时间:2005-2-28 月光软件站

尼姆达是一种邮件型病毒,以.eml的形式存在,它利用了OUTLOOK的漏洞,当你点击(单击)带毒邮件文件时或用OUTLOOK浏览邮件时,系统自动提取邮件中的README.EXE,README.EXE将在windows 的temp目录下产生mep****.tmp,mep****.tmp.exe(具有隐藏属性,外表是一个IE图标,让人以为是一个.HTML,)。可用查看进程信息的工具查看正在运行的进程,如果发现mep****.tmp.exe的进程应马上终止。
比如在本人机子产生的文件如下:mep52a5.tmp ,mep52a5.tmp.exe 还有mep52a6.tmp.exe(无用),mep52a6.tmp。然后mep52a5.tmp.exe将被运行它将进行传染等工作(具体传染和破坏功能正在研究中,粗提上看与蓝色代码类似)。

在带毒邮件中有如下特点:

<!--StartFragment-->--====_ABC1234567890DEF_====
Content-Type: audio/x-wav;  //////////关键
name="readme.exe"            ////////////关键
Content-Transfer-Encoding: base64
Content-ID: <EA4DMGBP9p>

在SYSTEM.INI中发现如下修改:

[boot]
shell=explorer.exe load.exe -dontrunold

在WINDOWS\SYSTEM目录下发现LOAD.EXE(IE图标,属性隐藏)

如发现以上状况说明你的机子以被感染了.
防御如下(WIN9X/ME):
 安装保护硬盘程序如:冰盾V(内带的硬盘保护)、文件保护大师1.01(内带的硬盘保护卡)等。把虚拟内存设到别的地方(只要不和WINDOWS目录在一个驱动器),把INTERNET的临时文件夹设到别的地方(只要不和WINDOWS目录在一个驱动器).
运行硬盘保护,选择windows目录所在的驱动器保护ok。这样病毒将无法进入你的系统,你上网就安全了。(这只是临时预防,关键是下载OUTLOOK补丁和最新的杀毒软件)




相关文章

相关软件