2001年10月31日

賽門鐵克公佈3級病蟲-寧達變種病蟲（W32.Nimda.E@ mm）修復工具

賽門鐵克安全機制應變中心（Symantec Security Response） 於29日發現寧達病蟲（W32. Nimda.A @mm ）的變種W32.Nimda.E@mm。由於全球感染人數增多，目前賽門鐵克將這隻變種病蟲的危害指數由2級升為3級（危害指數共為5級）。台灣目前已有災情傳出，賽門鐵克呼籲用戶趕緊 1)下載最新10月29日病毒定義檔､
2)至賽門鐵克網站下載修復工具､3)至微軟網站修補安全漏洞。這隻寧達變種病蟲特別的地方是，它包括了之前舊版寧達修復工具的修改程式碼，因此舊版的寧達修復工具無法清除此病蟲。

此病蟲的破壞類似之前的寧達病蟲，不同的是此變種病蟲對檔案做了以下的修改：

• 所收到的附件檔案，檔名為："Sample.exe"
  
• 將ADMIN.DLL變更為 Httpodbc.DLL
  
• 自行複製CSRSS.EXE在\Windows\System資料夾底下

病蟲名稱：寧達變種病蟲 （W32.Nimda.E@mm）

病蟲危害指數：3級

發現日期：2001年10月29日

感染方式：

• 電子郵件：與之前寧達病蟲一樣，唯一不同的是此變種病蟲的郵件附件改為
  " Sample.exe"。
  
• 網路芳鄰：分享電腦硬碟資料的行為也會造成此病蟲的傳播。此病蟲會自動搜尋網路資源分享檔案當作門戶，傳播到其它系統，自行複製並且執行。建議最好暫時關閉所有網路分享檔案。
  
• 某些被感染的網站：電腦用戶到一些感染的網站後，系統會自動感染此病蟲。
  
• 沒有修補安全漏洞的IIS主機
  

感染後的情形：

• 大量電子郵件寄送：此病蟲會夾帶Sample.exe附件。
  
• 改變檔案格式：此病蟲會自行取代正常的檔案。
  
• 降低效能：可能會造成電腦系統緩慢。
  
• 降低電腦安全性：病蟲會將使用者的C槽開放成網路共享的資源。
  
• 特定感染：會嘗試針對某些沒有修補安全漏洞的IIS主機進行攻擊。

感染後救援方法：

• 關閉網路芳鄰
  
• 下載最新10月29日病毒定義檔
  
• 至以下賽門鐵克網站下載修復工具：http://www.Symantec Security Response.com/avcenter/venc/data/w32.nimda.e@mm.removal.tool.ht
  
• 至以下微軟網站修補安全漏洞
  
  • http://www.microsoft.com/technet/security/bulletin/ms00-078.asp
    
  • http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
    
  • http://www.microsoft.com/technet/security/bulletin/MS01-044.asp

賽門鐵克安全機制應變中心(Symantec Security Response)
針對網路上產生的各種惡意威脅，安全機制應變中心提供鉅細靡遺的分析，了解其運作模式，並提供即時的應變及解決方案。

關於賽門鐵克(Symantec)
賽門鐵克為世界著名之網際網路安全技術及解決方案領導廠商，主要供應個人及企業用戶廣泛的內容安全及網路安全解決方案，能協助用戶提高生產力，並隨時隨地保持電腦的安全性及穩定性。賽門鐵克以領先技術提供企業用戶防毒保護、防火牆、私有虛擬網路、弱點管理、入侵偵測、網站內容及電子郵件內容過濾、遠端遙控管理技術和安全服務。賽門鐵克的諾頓個人安全產品品牌在零售市場及業界都位居領導地位。賽門鐵克總部位於美國Cupertino Calif.，在全球38個國家有辦事處。需要更多資料，可從賽門鐵克中文網站http://www.symantec.com.tw取得相關產品和技術資訊。