最新警告：比红色代码更红的worm,我已经中招了。：（ 解决送大分。(0分)

今天是很衰的一天.
中午睡了一会儿,下午起床,发现我的键盘坏了.拿起来一看,MD，键盘里面居然漏水出来。
：（
机器还在锁定状态,换键盘吧,死机了。：（（
更衰的还在后面：
重启之后,机器再度死掉.以为是意外,再重启,总算进来了,但是好慢,开始发觉不对劲了.
在任务管理器看了一下，没找到原因,在硬盘里看看,突然发现有数个readme.eml文件.
知道已经中招了.****.
下面的链接是关于这个worm的：
http://www.itworld.com/Sec/3832/IDG010918nimdaworm/
http://vil.mcafee.com/dispVirus.asp?virus_k=99209&&cid=2444
据文章中说:
"(Nimda) is certainly much faster, much more aggressive and much bigger" than Code Red,
另外:
The virus contains the string : Concept Virus (CV) V.5, Copyright (C) 2001 R.P.China
MD,你牛你弄鬼子我佩服，不要感染中文系统好不好？
小弟正在解决这个问题,如果一个小时内还搞不定的话,准备重装系统了。：（
因为很多文件已经被感染了。
最后提醒大家,补丁要天天打,病毒要天天妨！
如果那位兄弟知道解决方法，请速告之,分分奉送。

感染“代号红色2”病毒的应急处理
--------------------------------------------------------------------------------

　　从病毒观察网站传来消息，8月4日才出现的“代号红色”2(RED CODE II)病毒从八月四日起就在陆续在国内出现，到今天在国内已经泛滥成灾。8月6日中午11：43分，病毒观察网站获取到样本后，安排专人进行了反汇编分析，弄清了病毒的机理。并在当晚，发布了一个杀毒的小工具killrc2.exe。以下是转自病毒观察网站的部分消息，你也可以随时去病毒观察网站察看最新进展，
本站也将为大家提供对此病毒尽量全面的消息。
　　病毒介绍
　　这是一个蠕虫木马双特型病毒。
　　实际上和第一个RED CODE 蠕虫病毒相比，这并不是一个简单的变种，与RED CODE 相比，这个新蠕虫是极度危险的，因为它不是简单的修改主页，而是通过同样的IIS漏洞实现对一个木马文件的上载和运行。但它们使用的攻击方式是基本一样的，所以这样我们也可以用修补预防RED CODE 的方式来预防RED CODE II(参见本站联接)。但是“RED CODE II” 和 RED CODE I来比较，我们可以感觉到杀伤力大的多。
　　这个分析被分成3 部分：
　　感染
　　传播
　　特洛伊木马程序
　　RED CODE II的攻击原理和最初的RED CODE 一样，所以修复方法和RED CODE I是一样的
　　微软公司安全补丁下载页面： http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-033.asp
　　如果想检查你的机器是否被感染，你可以看看下列文件是不是存在：
　　c:＼explorer.exe 或 d:＼explorer.exe
　　你IIS的script 文件夹和文件夹msadc中是否有ROOT.EXE这个文件。
　　如果有的话则你很可能是已经被感染了。
　　注意：以前曾有一个叫做 sadmin unicode 的蠕虫，也会吧CMD.EXE文件改名为root.exe ，所以不能只凭是否有ROOT.EXE存在来判断是否已经中毒。
　　1、感染
　　第一次感染： 首先这个蠕虫会给自己建立一个环境，之后取得本地IP，用来分析子网掩码(将用来传播)，并且确认当前系统没有被重复感染。之后判断当前操作系统的语言，是繁体中文还是简体中文。之后判断是否已经被RED CODE感染，如果是的话，这个进程将转入永远休眠。
　　之后RED CODE II根据操作系统来增加线程，非中文系统为300条。如果是中文系统那么将打开600条线程。此时它把大量的繁殖线程转入后台，大规模的复制自己。(这些线程被用于向其他IP地址发送GET .IDA漏洞请求，参见 IIS-Worm.Body (RED CODE) 介绍)之后这个它将在系统中安装一个特洛伊木马。
　　RED CODE II的潜伏期，如果是非中文操作系统他会潜伏1天，对于中文系统它会潜伏2天。
　　2、转播
　　用来进一步传播这个蠕虫，这是它会设置一个本地 IP_STORAGE 变量用来储存本地IP，这个变量用于确定机器不会被重复感染。之后获取系统时间，如果当前时间在2002年后，或者月份在10月以后，那么这个蠕虫将重起计算机，这样就将转播可能限制在3个月内。之后蠕虫开始按一定规律生成目标主机IP地址并试图连接一个远程主机，如果能建立连接那么立刻去试图感染对方主机。
　　3、特洛伊程序
　　蠕虫会有计划的把cmd.exe 以root.exe的名字复制到msadc 和scripts 目录下，更名为root.exe,成为了一个可怕的后门。(cmd.exe是黑客攻击NT时梦寐以求的东西，好比UNIX SHELL)。并且将蠕虫中包含的一段2进制代码拆离成件名为explore.exe的木马到本地的驱动器(c:＼和d:＼)。
　　这个后门，可能会通过修改注册表，把你的c:＼，d:＼变成iis的虚拟目录。以上两点都是非常可怕的后门。
　　4、清除
　　请用病毒观察独家提供的查杀工具RedCode 2 KILLER检测清除。
　　可以 清除redcode II，修复redcode II造成的安全隐患，并为系统提供一个简单的打补丁，打补丁后无论是redcode还是redcode II,以及其他利用这个漏洞的蠕虫都不能感染你的系统。
　　如果您的系统未被感染，提醒您立刻浏览微软中国网站：http://www.microsoft.com/china/security/default.htm，这里有详细的防护方法。
　　参考资料：
　　在这里你可以读到更全面的反汇编分析：http://www.eeye.com/html/advisories/coderedII.zip。
　　感谢原新浪网病毒防治论坛版主幼虫提供本文，幼虫的个人主页“病毒救援”对本文亦有贡献。

手动清除：
　　 1、打开进程管理器，查看进程列表；
　　 2、结束其中进程名称为“xxx.tmp.exe”以及“Load.exe”的进程（其中xxx为任意文件名）；
　　 3、切换到系统的TEMP目录，寻找文件长度为57344的文件，删掉它们；
　　 4、切换到系统的System目录，寻找名称为Riched20.DLL的文件；
　　 5、查看Riched20.DLL的文件大小，系统的正常文件大小应该在100K以上，而Concept病毒的副本大小为57344字节，如果有长度为57344字节的Riched20.DLL，删掉它；
　　 6、继续在系统的System目录下寻找名称为load.exe、长度为57344字节的文件，删掉它；
　　 7、在C:/、D:/、E:/三个逻辑盘的根目录下寻找Admin.DLL文件，如果在根目录下存在该文件，则删除它；
　　 8、打开System.ini文件，在[load]中如果有一行“shell=explorer.exe load.exe -dontrunold”，则改为“shell=explorer.exe”；
　　 9、如果是WinNT或者Win2000以及WinXP系统，则打开“控制面板|用户和密码”，将Administrator组中的guest帐号删除；
　　 10、打开共享文件夹管理，将共享“C$”去除，该共享为本地C:/的完全共享；
　　 11、搜索整个机器，查找文件名为Readme.eml的文件，如果文件内容中包含
　　 　　　“<HTML><HEAD></HEAD><BODY bgColor=3D#ffffff><br>
　　　<iframe src=3Dcid:EA4DMGBP9p height=3D0 width=3D0><br>
　　　</iframe></BODY></HTML> ”
　　 以及
　　 “Content-Type: audio/x-wav;

　　 name="readme.exe"
　　 Content-Transfer-Encoding: base64
　　 ”，则删掉该文件。

今天公司页中了很多台，我已经把他们搞定了，很简单的[]
金山网页上有个工具
手工解决办法我贴出来（来自金山网页）
金山毒霸教您手工清除"尼姆达”（概念）蠕虫
-------------------------------------------------------------
发布时间：2001-09-19 11:08:25
　　最新闪亮登场的的"概念”（又称尼姆达）蠕虫，预测其破坏性极为巨大，如果用户您不幸深中此毒，大为恐慌之余，还需保持冷静，国内第一家首次发现此病毒的金山公司教您手工清除它，且请用户按照如下方法一步一步进行手动清除：
　　 1、打开进程管理器，查看进程列表；
　　 2、结束其中进程名称为“xxx.tmp.exe”以及“Load.exe”的进程（其中xxx为任意文件名）；
　　 3、切换到系统的TEMP目录，寻找文件长度为57344的文件，删掉它们；
　　 4、切换到系统的System目录，寻找名称为Riched20.DLL的文件；
　　 5、查看Riched20.DLL的文件大小，系统的正常文件大小应该在100K以上，而Concept病毒的副本大小为57344字节，如果有长度为57344字节的Riched20.DLL，删掉它；
　　 6、继续在系统的System目录下寻找名称为load.exe、长度为57344字节的文件，删掉它；
　　 7、在C:/、D:/、E:/三个逻辑盘的根目录下寻找Admin.DLL文件，如果在根目录下存在该文件，则删除它；
　　 8、打开System.ini文件，在[load]中如果有一行“shell=explorer.exe load.exe -dontrunold”，则改为“shell=explorer.exe”；
　　 9、如果是WinNT或者Win2000以及WinXP系统，则打开“控制面板|用户和密码”，将Administrator组中的guest帐号删除；
　　 10、打开共享文件夹管理，将共享“C$”去除，该共享为本地C:/的完全共享；
　　 11、搜索整个机器，查找文件名为Readme.eml的文件，如果文件内容中包含
　　 　　　“<HTML><HEAD></HEAD><BODY bgColor=3D#ffffff><br>
　　　<iframe src=3Dcid:EA4DMGBP9p height=3D0 width=3D0><br>
　　　</iframe></BODY></HTML> ”
　　 以及
　　 “Content-Type: audio/x-wav;
　　 name="readme.exe"
　　 Content-Transfer-Encoding: base64
　　 ”，则删掉该文件。

TROJ_NIMDA.A娜妲病毒分析
TROJ_NIMDA.A娜妲病毒在通过email传播时，当用户邮件的正文为空，似乎没有附件，实际上邮件中嵌入了病毒的执行代码，当用户用OUTLOOK、OUTLOOK EXPRESS（没有安装微软的补丁包的情况下）收邮件，在预览邮件时，病毒就已经不知不觉中执行了。病毒执行时会将自己复制到临时目录，再运行在临时目录中的副本。病毒还会在windows的system目录中生成load.exe文件，同时修改system.ini中的shell从shell=explorer.exe改为explorer.exe load.exe -dontrunold，使病毒在下次系统启动时仍然被激活。另外，在system目录下，病毒还会生成一个副本：riched20.dll。而riched20.dll目录在windows系统中就存在，而它就把它覆盖掉了。
而病毒复制到临时目录下的副本（有两个文件，文件名为？？？？？？？.tmp.exe），病毒会在系统下次启动时将他们删除。
为了通过邮件将自己传播出去，病毒使用了MAPI函数读取用户的email并从中读取SMTP地址和email地址。
病毒的第三种传播途径就是用跟CodeBlue极其相似的方法，使用了IIS的UNICODE漏洞。
病毒的第四种传播途径是通过局域网的共享，传播到其它windows系统下。
在Web服务器的日志文件中可发现如下内容:
GET /scripts/root.exe?/c+dir
GET /MSADC/root.exe?/c+dir
GET /c/winnt/system32/cmd.exe?/c+dir
GET /d/winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET /msadc/..%5c../..%5c../..%5c/../xc1/x1c../../xc1/x1c../../xc1/x1c../winnt/system32/cmd.exe?/c+dir
GET /scripts/../xc1/x1c../winnt/system32/cmd.exe?/c+dir
GET /scripts/../xc0/../winnt/system32/cmd.exe?/c+dir
GET /scripts/../xc0/xaf../winnt/system32/cmd.exe?/c+dir
GET /scripts/../xc1/x9c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%2f../winnt/system32/cmd.exe?/c+dir

另外，病毒运行时会利用ShellExcute执行系统中的一些命令如：NET.EXE、USER.EXE、SHARE.EXE等命令，将Guest用户添加到Guests、Administrators组（针对NT/2000/XP），并激活Guest用户。还将C盘根目录共享出来。
解决方案：
１：去掉网络共享，防止进一步通过内网传染
２：下载安装补丁程序
IIS的补丁如下:
http://www.microsoft.com/technet/security/bulletin/MS01-044.asp
客户端用户的补丁如下:
Http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
３：将system.ini中的Shell = explorer.exe load.exe 　改为Shell = explorer.exe
４：删除system目录下的load.exe、 riched20.dll 文件。

TROJ_NIMDA.A娜妲病毒eml部分代码
MIME-Version: 1.0
Content-Type: multipart/related;

type="multipart/alternative";

boundary="====_ABC1234567890DEF_===="
X-Priority: 3
X-MSMail-Priority: Normal
X-Unsent: 1
--====_ABC1234567890DEF_====
Content-Type: multipart/alternative;

boundary="====_ABC0987654321DEF_===="
--====_ABC0987654321DEF_====
Content-Type: text/html;

charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

<HTML><HEAD></HEAD><BODY bgColor=3D#ffffff>
<iframe src=3Dcid:EA4DMGBP9p height=3D0 width=3D0>
</iframe></BODY></HTML>
--====_ABC0987654321DEF_====--
--====_ABC1234567890DEF_====
Content-Type: audio/x-wav;

name="readme.exe"
Content-Transfer-Encoding: base64
Content-ID: <EA4DMGBP9p>

注意防范TROJ_NIMDA.A娜妲病毒
趨勢科技9月19日发布高度病毒警讯，一个名为TROJ_NIMDA.A娜妲病毒正在全球扩散中，该病毒是一个蠕虫病毒，又名NIMDA.A, W32/Nimda.A@mm 、娜妲病毒。该病毒有三种传播方式，一是通过电子邮件传播，二是通过网络文件传播，三是通过IIS的服务器传播。
病毒通过电子邮件传播时，该邮件会产生一readme.exe的个附件，在C:/Windows/Temp文件夹下建立一个mepXXXX.tmp文件，这是一个EMAL格式的邮件文件。
解决方法：
1、按下CTRL-ALT-DEL，可以看到病毒运行的文件me******tmp.结束该运行文件。
2、到microsoft下载补丁程序。 下载地址：
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
3、采用杀毒软件查杀。

附： 趨勢科技原文如下：
Description:
This Trojan worm uses three modes for propagation. It spreads via email, network shares,
or through servers with IIS installed using the IIS Web Directory Traversal exploit. When
spreading through mail, it typically arrives with the attachment readme.exe. It drops the
file mepXXXX.tmp in the C:/Windows/Temp directory, which is an eml format mail. This temp
file contains the file attachment sent by the worm.
Solution:
End the running process of the worm first using the task manager, by pressing CTRL-ALT-DEL
and ending the task with name me******tmp.
The worm is using the Microsoft IE MIME Header Attachment Execution Vulnerability to drop
emails. For an explanation and todo
wnload the patch please visit Microsoft&amp;#039;s Web site.
Trend Micro provides assistance at nimda_help@support.trendmicro.com and suggests that
customers send their emails here.

发表评论

今天我公司的很多电脑也中招了!

以上资料均来自搜毒网http://www.soudu.net/

谁知道如何KILL CodeRed?不是CodeRedII，我到金山去下了个CodeRedII的专杀程序竟
对CodeRed没用查都查不出！

还好在七点半之前找到了解决方法。
感谢各位的资料。
不过对我有用的只有一句:"金山网页上有个工具"
我在鬼子的网站也找到过个工具,但是要卖二十刀,Kao.
关于手工清除的资料，我觉得有问题.:
>>2、结束其中进程名称为“xxx.tmp.exe”以及“Load.exe”的进程（其中xxx为任意文件名）；
用我的任务管理器查看,找不到上述进程.
而且这是病毒,你把这些东东都删了也没用,被感染的文件怎么办呢？
用金山的工具搞定了,不过它把所有感染文件的.exe文件都删掉了。唉，反正是免费的,认了。
再次感谢各位。
请kindly, eve,bzmouse 到这里领分。:
http://www.delphibbs.com/delphibbs/dispq.asp?lid=634146

接受答案了.