安全顾问星期五强调指出,当破坏性的Nimda(尼姆达)蠕虫病毒蔓延放缓的时候,许多公司都很难从其网络中清除这种恶意程序。
网络保护公司Neohapsis公司的高级研究顾问Mike Scher说,这种病毒特别狡猾。你把它从网络的一部分清除出去,还必须确认它没有再回来。这就跟救火一样。在成功地阻止Nimda病毒侵入网络之后,Scher的客户公司又从一个雇员的家中再次感染这种病毒。后来,这种病毒迅速扩散到该公司全球各地的办公室。
这种恶性病毒还使几家互联网服务提供商采取严厉的措施阻止用户扩散病毒和使其网络过载。
XO通信公司星期五承认,该公司中断了的差不多四分之一的网上用户服务器,试图停止由该病毒制造的数据泛滥。还有一家互联网服务提供商DSL.net公司在发现其用户的计算机明显受到该病毒的感染后,切断了数百个用户的连接。
Nimda蠕虫病毒的袭击如此迅速,在6个小时内就达到高峰,造成了如此巨大的灾难,以至于对该病毒的准确分析一直延后。
例如,本星期着些时候,杀毒软件公司Symantec公司原来认为清除Nimda蠕虫病毒很“容易”。但是24小时后,该公司就改变了那种看法。
最新的信息显示,Nimda蠕虫病毒能够大量替换被感染计算机的主要文件和程序,并且利用Windows文件共享扩散到局域网,使这种病毒很难清除。
Nimda蠕虫病毒按字母的顺序反过来读就是“admin”,是系统管理员的意思。该病毒星期二上午开始传播,并迅速感染了互联网上的电脑和服务器。这种病毒还被称作“readme.exe”和“W32.Nimda”,首次使用四种不同的方式不仅感染运行Windows95、98、Me和2000操作系统的计算机而且还能感染运行Windows 2000和indows NT操作系统的服务器。
该病毒传播的第一种方式是,如果服务器曾遭到红色代码II蠕虫病毒的侵害,Nimda病毒就能利用那个后门把自己复制到那台服务器上,文件名是“admin.dll”。该病毒可在被感染的服务器上制造拥有管理权限“客户”帐号,使系统C:盘可以公开访问并为HTM、HTML和ASP文件添加脚本。
第二种传播方式是通过浏览网页感染其它计算机。第三种方式是通过电子邮件传播。第四种方式是通过使用共享的驱动器将病毒复制到整个公司网络。
专家认为,Nimda蠕虫病毒利用网络共享机制传播速度快,很难对付。即使各个公司已经彻底清除了该病毒,该病毒还会在那里保留很长时间。 |