我的杀毒过程:也谈“尼姆达”
作者:王毅 来源:天极网 添加时间:2006-5-21 17:16:41我是一名程序员,十一月初的一天的早上,我一上班打开计算机时,发现在桌面上多了一个名为“样品”的EML文件。因为平时都用FoxMail,并不用OutLook,所以对于这个文件很好奇,就点中它,不料这个文件竟自动执行,并在一瞬间显示出一个文件下载窗口。当时我马上意思到,我已经中了病毒,但并不在意,因为公司装的有瑞星杀毒。不料瑞星(版本13.01)竟没有查出来,因为当时要赶程序,也就把这事先放在了一边。结果因为这个错误的决定,导至了一个恶梦的开始。
下午上班后,发现公司里几乎所有的机器都出现了这种情况,又对硬盘搜索了一下,发现4000多个EML和NEW文件。没办法,只好先上网查了一下最新病毒资料,得知这个病毒可能就是尼达姆病毒。OK,知道了病毒就行,公司的计算机不能随便就格式化,只能杀毒。拿着我的KV3000赶到连邦去升级(不敢在公司升,怕把杀毒盘搞坏)。回来之后就开始在Windows下删除了所有的EML、NEW文件,重启到DOS下狂杀(这时我忘了断开网络)。不一会儿,耳边就只剩下KV在杀毒时的啼啼声了。经过漫长的等待之后,终于搞定,想回到W2K下,却在启动时报找不到Explorer.exe,这个文件可以Winows启动必须的呀,不会杀毒时给杀了吧!但我之前看到一些文章说尼姆达不感染执行文件呀,没办法,重装2K后一切正常,就开始工作。这时同事有的还在杀毒,有的还没有开始杀。不管,我写我的程序先,就在我狂赶今天的工作时,桌面上又出现了 样品.eml ,我大叫一声“不可能”,又上网下了一个毒霸之尼姆达专杀工具,在Windows环境下断开了网络杀呀杀。在我已经困的眼睛已睁不开时,毒杀完了。上网看了关于尼姆达的介绍之后发现此病毒的大小应为79225字节,但我杀的却每个EML文件的大小有1.2M多,隐隐觉得有些不对之后,想到公司里的所有机器的毒都已杀完,也就下班回家了。
又是新的一天,早上没事,上网找了一下资料。不一会儿,觉得网络速度比较慢,断开网络又用专杀工具扫描一下,没有发现病毒。却发现一个奇怪的现象:我的D盘原来应有7G的空间,现在只剩700多M。搜索了一下*.eml和*.new,My God,又有4K多的文件,应该不难想像我这时的表情吧。疑惑、无奈、愤怒、麻木…… 为什么杀不掉呢?(后经查证,该病毒可经网页传染)连专杀工具也对付不了了。最后我做出了现在我认为是最为英明的决定,将瑞星升到了13.28,并又自已掏腰包买了一套金山毒霸2001,也升到了11月一日的病毒库。在两份杀毒软件的夹击之下,终于杀出了名为“尼姆达2”的病毒。唉,原来是变种呀,可把我给害苦了:将公司的资料搞的是乱七八糟。
经过了两天的较量,也对尼姆达病毒有了一定的了解,现把我的一些总结告诉大家。此病毒的传播方式大概有三种:电子邮件、网页(在服务器已感染的情况下)和局域网中共享传染。中毒之后的表现有:硬盘空间急剧减少、在每个文件夹下出现一个EML和NWS文件、感染Riched20.dll(该文件感染之后大小变为100K以上,属性变了隐含属性,未感染时大小在100K以下,没有系统属性),在各盘根目录上出现Adm.dll文件,并且在感染病毒之后运行的任何可执行文件都会被感染;在局域网中一台计算机中毒之后,病毒会自动在网络中寻找共享,并自动安装。(现在的病毒太厉害了,明儿要改行写病毒,不搞数据库了!)
现在不少网站都感染了此病毒,本人在上网时,杀毒程序不断警告说有尼姆达病毒。希望各网站的管理员可以杀一下毒,免得像我这样不小心的人又再次感染。经过此次和病毒的较量之后,我留下了一个后遗症,每三天都要升级杀毒程序,不管它是否有升级版本出来。
站内搜索