work1

病毒名稱：娜妲病毒變種(PE_Nimda.E)
病毒簡介：
　　Nimda病毒又出現變種！名稱為PE_Nimda.E的Nimda變種病毒已經被發現，此病毒會尋找並修改.htm、.html 及.asp等檔案，將其修改為病毒格式檔案，使得其他人上網瀏覽此網頁時感染病毒。

　　此病毒會透過下列四種方式擴散：

1.E-mail：夾帶病毒的電子信件特徵如下：

信件主旨：不定
附加檔案：sample.exe

2.資源分享：此病毒會將受感染主機的磁碟機分享至網路芳鄰
3.IIS連接：此病毒會存在位於C,D或是E磁碟機的根目錄的httpodbc.dll 檔案
4.Web瀏覽：若使用者瀏覽到受病毒感染的網頁時，就會染感病毒

中毒特徵：

　　當電腦發生以下任何一種情形時，便可能是受到此病毒感染：

1. 若使用者不慎執行夾帶病毒的E-mail附加檔案後，會在C:\Windows\Temp
    內建立me????.tmp.exe檔案。此檔案是e-mail格式,並且含有病毒檔案
2. 若是IIS，則病毒會存在C,D或是E磁碟機的根目錄的httpodbc.dll 檔案
3.windows 9X/ME 系統中, 會在windows 目錄中產生 LOAD.EXE
4.windows NT/2K 系統, 會在 Windows\System 目錄中產生隱藏檔CSRSS.EXE

預防方法：

　　Microsoft IE使用者請至下列網站更新patch
　　 http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

　　若您有架設 IIS，請至下列網站更新patch
　　 http://www.microsoft.com/technet/security/bulletin/ms00-078.asp
　　 http://www.microsoft.com/technet//security/bulletin/MS01-044.asp

　

解毒方法：

　以下資料摘錄自賽門鐵克，原始完整pdf檔請於此下載
　強烈建議在使用此修復程式前，先閱讀原始完整pdf檔

　說明: 如果您使用Windows NT,Windows 2000,or Windows XP.
              必需有管理者的權限才能順利的完成修復.

非常重要!必讀:

假如有以下的兩種或其中一種狀況:
　‧假如您執行了本修復程式後,某些應用程式就不能執行(例如Microsoft Word).
　‧假如您執行了本修復程式後,有看到如"The file "not" is infected and *$#&#$*#@ repaired."等文字
　　那就是作業系統中的 Riched20.dll 這支檔案已經被病蟲所損毀,那麼就需要回復完整的
        檔案回去,甚至要重新安裝受損的應用程式(例如Microsoft Word 或Office).

1. 下載 FxNimdaE.com 這支修復工具
http://securityresponse.symantec.com/avcenter/FxNimdaE.com.
http://www.savetime.com.tw/fxnimdaE.com
下載的位置,以方便存取為原則,例如在您的桌面上或c:\downlaod 等目錄,切勿下載完了,自己還找不到.

2. 為避免透過非正常的途徑取得不正確的修復程式,原廠有一支數位認證的檔案, 如果您是很小心的人,建議下載這支程式,並且利用它來確認是否為正統的檔案,這支認證的檔案為
http://www.wmsoftware.com/pub/chktrust.exe.
,請將本檔案置於修復程式相同的目錄,然後進入MS-DOS 模式 ,
執行chktrust -i FxnimdaE.com .
如果認證無誤,會顯示以下的文字:
Do you want to install and run "FxNimdaE.com" signed on 10/30/2001 10:12 AM and distributed by Symantec Corporation.

3. 關閉所有的執行程式,包含關閉防毒的即時防護功能,如果是 Windows Me 的環境,強烈建議 disable System Restore 的功能.

4. .按滑鼠兩次以執行 FxnimaE.com 的修復及清除程式,直到完全清除為止(此時最好將網路分享功能暫時停止)

5. 如果有IIS 或IE 的漏洞或修補程式未安裝,請參考以下的連結說明,將其安裝補正

　　o http://www.microsoft.com/technet/security/bulletin/ms00-078.asp
　　o http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
　　o http://www.microsoft.com/technet/security/bulletin/MS01-044.asp

6. 將電腦系統重新啟動(重新開機)

7. 執行步驟4 直到完全清除為止.

8. 將先前關閉的工功能,重新啟動(如防毒的即使防護,及WINDOWS ME 的 disable System Restore.)

9. 關閉沒有必要的網路分享磁碟機或設定分享必需要密碼或僅唯讀等

10. 移除系統中Administrators 群組中,guest 的帳號

11. 最好在執行一次防毒系統的更新(liveupdate),以確保您的系統得到最佳的保護

12. 完成.

特別說明: 如果您的作業系統是 Windows Me,那麼系統內定的系統回復功能(System Restore)是啟動的,如果要利用本修復工具來修復系統,必需將此一功能關閉,否則會造成修復的不成功.

一旦修復工具完成了整個系統的修復工作,不管中毒與否,將會顯示以下的結果:

‧多少檔案被掃瞄.
‧多少檔案被掃瞄被刪除.
‧多少檔案被掃瞄被修復.
‧多少的病毒活動或程序被停止.