“尼姆达”病毒简介及手工清除方法
　 2001-09-19 16:14:38

　　
　　金山公司刚刚率先发现的新蠕虫--------“概念”病毒（Worm.Concept.57344），又是一种会通过email电子邮件进行传播的恶意蠕虫。当用户邮件的正文为空时，似乎没有附件，实际上邮件中嵌入了病毒的执行代码。只要用户用OUTLOOK、OUTLOOK EXPRESS（没有安装微软的补丁包的情况下）收取邮件，在预览邮件时，病毒的执行代码就已经在不知不觉中执行了。执行时会将自身复制到临时目录下，再运行在临时目录中的副本。

　　该病毒还会在windows的system目录中生成load.exe文件，同时修改system.ini中的shell，把shell=explorer.exe改为explorer.exe load.exe –dontrunold，从而使病毒在下次系统启动时仍能被激活。另外，在system目录下，该病毒还会生成一个副本：riched20.dll。riched20.dll目录在windows系统中就存在，它就会把它覆盖掉了。

　　病毒复制到临时目录下的副本（有两个文件，文件名为？？？？？？？.tmp.exe），在系统下次启动时，病毒会将他们删除（修改wininit.ini文件）。

　　为了通过邮件将自己传播出去，该病毒使用了MAPI函数读取用户的email并从中读取SMTP地址和email地址。病毒还在windows的临时目录下生成一个eml格式的临时文件，大小为79225字节，该文件已经用BASE64编码将病毒包含进去。然后，病毒就用取得的地址将带毒邮件发送出去。

　　病毒的第二种传播途径就是用与CodeBlue极其相似的方法，使用了IIS的UNICODE漏洞。

　　该病毒的第三种传播途径则是通过局域网的共享，传播到其它windows系统下。
　　另外，病毒运行时会利用ShellExcute执行系统中的一些命令如：NET.EXE、USER.EXE、SHARE.EXE等等，将Guest用户添加到Guests、Administrators组（针对NT/2000/XP），并激活Guest用户。还会将C盘根目录共享出来。

　　请用户按照如下方法一步一步进行手动清除：

　　 1、打开进程管理器，查看进程列表；
　　 2、结束其中进程名称为“xxx.tmp.exe”以及“Load.exe”的进程（其中xxx为任意文件名）；
　　 3、切换到系统的TEMP目录，寻找文件长度为57344的文件，删掉它们；
　　 4、切换到系统的System目录，寻找名称为Riched20.DLL的文件；
　　 5、查看Riched20.DLL的文件大小，系统的正常文件大小应该在100K以上，而Concept病毒的副本大小为57344字节，如果有长度为57344字节的Riched20.DLL，删掉它；
　　 6、继续在系统的System目录下寻找名称为load.exe、长度为57344字节的文件，删掉它；

　　 7、在C:、D:、E:三个逻辑盘的根目录下寻找Admin.DLL文件，如果在根目录下存在该文件，则删除它；
　　 8、打开System.ini文件，在[load]中如果有一行“shell=explorer.exe load.exe -dontrunold”，则改为“shell=explorer.exe”；
　　 9、如果是WinNT或者Win2000以及WinXP系统，则打开“控制面板|用户和密码”，将Administrator组中的guest帐号删除；
　　 10、打开共享文件夹管理，将共享“C$”去除，该共享为本地C:的完全共享；
　　 11、搜索整个机器，查找文件名为Readme.eml的文件，如果文件内容中包含
　　 　　　“＜HTML＞＜HEAD＞＜/HEAD＞＜BODY bgColor=3D#ffffff＞
　　＜iframe src=3Dcid:EA4DMGBP9p height=3D0 width=3D0＞
　　＜/iframe＞＜/BODY＞＜/HTML＞ ”

　　 以及
　　 “Content-Type: audio/x-wav;
　　 name="readme.exe"
　　 Content-Transfer-Encoding: base64
　　 ”，则删掉该文件。

　　 只要用户您认真仔细地依照上述方法步骤，便可做到手动清除新“概念”蠕虫，赶快行动吧！

　　（摘自金山网站）