Nimda：Nimda

Nimda第一次是在2001年9月18日出现的病毒，随着它在因特网上的传播，最终引起了整个网络的通信减缓，它的传播通过四个不同的方法，感染包扩微软的Web服务器在内的计算机，因特网信息服务器（IIS）和打开电子邮件附件的用户。和众多以前的病毒一样，Nimda的有效负载似乎是减缓通信本身-因此，除了消耗时间之外它不会出现破坏文件或者导致其他损坏，这种情况下它可能因为太慢而访问失败与服务器的联系或者因为通信损失会被服务器拒绝。由于Nimda是的多尖端分叉的攻击的，它似乎出现的同类型病毒里最麻烦的一个了。它的名字（是“admin”这个词的倒置）很明显是关于“admin.DLL”文件，当它运行的时候就会持续不断的繁殖病毒。

　　简述Nimda的工作原理：

• 它随机选择一定范围的IP地址并对之进行刺探，尝试找到该IP的机器上存在于IIS的弱点。一个有着暴露的IISWeb服务器的系统会读取包含了植入式JavaScript的网页并自动执行它，在该服务器上所有的网页里生成相同的代码。
• 当使用IE5.01或者更早版本的IE浏览器的用户访文被感染Web服务器的时候，他们就会不知不觉得下载带有自动执行JavaScript的页面，导致病毒被随机地发送到连接在因特网上的其他计算机。
• Nimda也能感染Web服务器所在的网络里的有网络共享（部分的文件空间）的用户。
• 最后，Nimda会让一个被感染系统发送带有readme.exe附件的电子邮件给本地Windows地址簿里列出的地址。打开或者预览这一附件（这是一个带有JavaScript的网页）的用户将继续传播这个病毒。

最近更新时间：2008-06-17 EN