• 尼姆达检测和清洁的是轻量级而有用的工具,目的是为了帮你擦除的危险[email protected][email protected] 病毒。

    这病毒是通过电子邮件作为附加文件,具体的邮件显然是空的,但它实际上包含的代码使用的框架利用这将执行该病毒时的用户只是观的消息(如果他被使用外型或Outlook表达,而不是最新的服务包或贴从微软)。 一旦安装完毕,它的副本本身在该系统目录名riched20.dll 修改自己是装作一个DLL(Dinamically链路图书馆)。 这DLL使用的应用程序的工作与Richedit文本格式,例如写字板。

    被激活的每一重新启动,该病毒的修改系统。ini在启动部分,写入如下一行:

    shell=explorer.exe load.exe -dontrunold

    在病毒极为重视的一个线程explorer.exe 用来运行它的病毒码。

    来传播它采用书兼(邮寄API)的功能读户的电子邮件,从那里提取SMTP(简易邮件传输协议)的地址和电子邮件地址。

    另一种方法来传播是通过使用Unicode网络穿越利用类似于CodeBlue的。

    使用这个漏洞病毒得到控制的执行流动服务器上下载本身的名义下admin.dll然后把一个HTML码的网页通过IIS服务器下载病毒。 要做到这一点,它试图修改该文件的名称:

    指数,主要的,默认的

    和扩展之一:

    中。html

    中。htm

    中。asp

    也病毒列举了网络资源的可见到感染的计算机和试图复制在共用的文件或文件夹。

    这病毒能够感染的文件的通过附有可执行作为一种资源,与原始数据名为f在该病毒的程序。 当受感染的文件是执行该病毒的控制和执行的原始文件,以便用户没有注意到什么。 这是通过下降,f资源在文件中同名的原来的但与空间所附的,随后通过的。exe。

    病毒激活的客户没有密码,并将其添加到管理员组成。 它还将创建一个分享对于每个根目录(C)与所有访问的权利,并禁止代理通过修改键:

    HKEY_CURRENT_USERSoftwareMicrosoftwindowscurrentversioninternet SettingsMigrateProxy与价值"1"

    HKEY_CURRENT_USERSoftwareMicrosoftwindowscurrentversioninternet SettingsProxyEnable与价值"0"

    HKEY_CURRENT_CONFIGSoftwareMicrosoftwindowscurrentversioninternet SettingsProxyEnable与价值"0"

    离开图书馆riched20.dll 不删除将重新激活该病毒在一个方案使用这个图书馆执行。

  • Nimda का पता लगाने और साफ है, एक हल्के और उपयोगी उपकरण है कि डिजाइन किया गया था क्रम में मदद करने के लिए आप को मिटा खतरनाक [email protected] और [email protected] वायरस है ।

    इस वायरस के माध्यम से आता है ई-मेल के रूप में एक संलग्न फाइल के शरीर के साथ मेल जाहिरा तौर पर खाली है, लेकिन जो वास्तव में शामिल करने के लिए कोड का उपयोग करें IFRAME शोषण पर अमल करेंगे जो वायरस जब उपयोगकर्ता को देखने के सिर्फ संदेश (यदि वह है का उपयोग कर Outlook या आउटलुक एक्सप्रेस के बिना नवीनतम सर्विस पैक या पैच Microsoft से). एक बार स्थापित यह प्रतियां ही में सिस्टम निर्देशिका नाम के साथ riched20.dll को संशोधित करने के लिए खुद को लोड किया जा सकता के रूप में एक DLL (Dinamically लिंक लाइब्रेरी) है । इस DLL द्वारा प्रयोग किया जाता है कि अनुप्रयोगों के साथ काम Richedit पाठ प्रारूप इस तरह के रूप में वर्डपैड.

    सक्रिय करने के लिए हर रिबूट पर, वायरस को संशोधित करता है प्रणाली.ini बूट खंड में, लेखन निम्न पंक्ति:

    shell=explorer.exe load.exe -dontrunold

    वायरस देता है एक धागा करने के लिए explorer.exe चलाने के लिए अपने वायरल कोड.

    यह प्रसार करने के लिए MAPI का उपयोग करता है (मेलिंग API) फ़ंक्शन को पढ़ने के लिए उपयोगकर्ता ई-मेल, जहां से यह अर्क एसएमटीपी (साधारण डाक अंतरण प्रोटोकॉल) पते और ई-मेल पते.

    एक अन्य विधि का प्रसार करने के लिए है का उपयोग करके यूनिकोड वेब चंक्रमण का फायदा उठाने के लिए इसी तरह के CodeBlue.

    इस शोषण का उपयोग वायरस के निष्पादन के प्रवाह पर है कि सर्वर और डाउनलोड ही नाम के तहत admin.dll, तो एक HTML कोड में वेब पेज द्वारा की मेजबानी IIS सर्वर डाउनलोड करने के लिए वायरस. ऐसा करने के लिए, यह की कोशिश करता है को संशोधित करने के लिए फ़ाइलों के नाम के साथ:

    सूचकांक, मुख्य रूप से, डिफ़ॉल्ट

    और विस्तार के साथ में से एक:

    है । html

    है । htm

    है । एएसपी

    यह भी वायरस enumerates नेटवर्क संसाधनों के लिए दिखाई दे संक्रमित कंप्यूटर और कोशिश करता है की नकल करने में साझा फ़ाइलों या फ़ोल्डर्स ।

    वायरस के लिए सक्षम है, संक्रमित फ़ाइलों को संलग्न द्वारा निष्पादन योग्य एक संसाधन के रूप में कच्चे डेटा के साथ नामित एफ में वायरस प्रोग्राम है । जब संक्रमित फ़ाइल निष्पादित किया जाता है वायरस पर नियंत्रण और कार्यान्वित मूल फ़ाइल है, तो उपयोगकर्ता की सूचना नहीं है कुछ भी. यह पूरा हो रहा है छोड़ने के द्वारा है कि एफ संसाधन में एक फ़ाइल एक ही नाम के साथ मूल रूप में, लेकिन एक स्थान के साथ संलग्न द्वारा पीछा किया .exe.

    वायरस सक्रिय उपयोगकर्ता अतिथि के साथ कोई पासवर्ड और इसे जोड़ने के लिए व्यवस्थापक समूह । इसके अलावा, यह बनाता है एक शेयर के लिए हर रूट निर्देशिका (सी से Z करने के लिए) के साथ सभी अधिकारों का उपयोग, और अक्षम प्रॉक्सी संशोधित करके कुंजी:

    HKEY_CURRENT_USERSoftwareMicrosoftwindowscurrentversioninternet SettingsMigrateProxy मूल्य के साथ "1"

    HKEY_CURRENT_USERSoftwareMicrosoftwindowscurrentversioninternet SettingsProxyEnable के साथ मूल्य "0"

    HKEY_CURRENT_CONFIGSoftwareMicrosoftwindowscurrentversioninternet SettingsProxyEnable के साथ मूल्य "0"

    पुस्तकालय छोड़ने riched20.dll नहीं हटाया जाएगा पुन: सक्रिय वायरस जब एक कार्यक्रम में इस पुस्तकालय का उपयोग कर मार डाला है.

  • Nimda Detection & Clean is a lightweight and useful tool that was designed in order to help you erase the dangerous [email protected] and [email protected] viruses.

    This virus comes through e-mail as an attached file, with the body of the mail apparently empty but which actually contains the code to use the IFRAME exploit which will execute the virus when the user just view the message (if he is using Outlook or Outlook Express without latest Service Packs or patches from Microsoft). Once installed it copies itself in the system directory with the name riched20.dll modifying itself to be loaded as a DLL (Dinamically Link Library). This DLL is used by applications that work with Richedit Text Format such as Wordpad.

    To be activated at every reboot, the virus modifies system.ini in the boot section, writing the following line:

    shell=explorer.exe load.exe -dontrunold

    The virus attaches a thread to explorer.exe to run its viral code.

    To spread it uses MAPI (Mailing API) functions to read user's e-mails from where it extracts SMTP (Simple Mail Transfer Protocol) addresses and e-mail addresses.

    Another method to spread is by using the Unicode Web Traversal exploit similar to CodeBlue.

    Using this exploit the virus gets control of the execution flow on that server and download itself under the name admin.dll, then puts a HTML code in the web page hosted by the IIS server to download the virus. To do this it tries to modify the files with the name:

    index, main, default

    and with the extension one of:

    .html

    .htm

    .asp

    Also the virus enumerates the network resources visible to the infected computer and tries to copy in shared files or folders.

    The virus is able to infect files by attaching the executable as a resource with raw data named f in the virus program. When the infected file is executed the virus takes over the control and executes the original file so the user doesn't notice anything. This is accomplished by dropping that f resource in a file with the same name as the original but with a space appended, followed by .exe.

    The virus activates the user guest with no password and add it to the Administrator group. Also it creates a share for every root directory (from C to Z) with all access rights, and disables the proxy by modifying the keys:

    HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsMigrateProxy with the value "1"

    HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsProxyEnable with the value "0"

    HKEY_CURRENT_CONFIGSoftwareMicrosoftWindowsCurrentVersionInternet SettingsProxyEnable with the value "0"

    Leaving the library riched20.dll not deleted will reactivate the virus when a program using this library is executed.