警惕程度：★★★★
发作时间：随机
病毒类型：蠕虫病毒
传播方式：局域网/文件
感染对象：系统文件
依赖系统: WIN9X//NT/2000/XP

病毒介绍：

    尼姆达变种I（Worm.Nimda.i）病毒于6月19日被瑞星全球反病毒监测网率先截获，该变种在原尼姆达病毒编写的基础上又进行了技术改进，具有更强的泄密性与网络传播的能力。

    虽然该病毒还未在全球泛滥，但鉴于该病毒的特性，瑞星反病毒工程师提醒个人及企业级用户，对该变种病毒要提前预防，以防止再一次发生尼姆达病毒袭击全球的事件。

病毒特性：

    一 将被感染文件藏于自己体内。

    该病毒的感染沿袭了原尼姆达病毒的感染方式，病毒运行时会查询注册表SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths的值，感染该项里的所有注册文件。感染时会将目标文件放入病毒的资源段内，即病毒不是将自身代码插入被感染的文件体内，而是直接将被感染文件“吞”到自己的肚子里。然后病毒会将自已的文件名改成被感染文件的文件名，进行李代桃僵。当不知情的用户想运行原来的文件时，病毒便会首先取得运行权，然后从自己体内将原来的文件释放出来并执行，使用户无法查觉到异常。

    二 运行时藏身IE体内。

病毒会通过查询注册表信息得到IE（Explorer）的进程号，然后将病毒体注入到IE的进程空间内。如果成功病毒将在explorer进程空间中执行病毒的主体，这样病毒运行时就能躲过一些对内存比较了解的用户的查看。

    三 以高优先级进行循环传染。

    病毒运行时会提升自己的线程优先级，并且每隔30秒就重复一次传染流程，将导致系统资源极大浪费。

    四 快速的局域网传播。

    病毒运行时会枚举局域网内的所有计算机，并对其共享目录进行搜索，当病毒发现有系统文件时就尝试感染该文件。如被搜索目录存在doc文件时，病毒便会将自己复制到该目录下，并将自身命名为：_setup.exe和riched20.dll。只要用户双击该doc文件，系统便会自动执行这两个病毒文件，造成病毒在被感染的计算机上被激活，导致病毒再一次重复感染动作。

    五 严重的泄密特性

    病毒运行时还将激活当前系统的guest账号并将其加入到管理员组中，使其具有管理员的权限，然后病毒就能通过该通道进行非法操作。病毒还会将当前的a至z盘变成共享，使任何外界的黑客程序都可以无障碍地访问计算机中的信息，并且病毒还会感染这些共享磁盘中的所有系统文件，使其全部带毒。

    如遇到异常情况，请用户赶紧升级手中的瑞星杀毒软件2003版或使用瑞星在线杀毒：在第一时间内清除该病毒，如果用户不方便出门，还可以从瑞星网站直接下载“瑞星杀毒软件2003下载版”查杀该病毒，也可以随时拨打瑞星反病毒急救电话：010-82678800进行咨询，瑞星反病毒专家将为您提供全方位的技术支持与服务！