Nimda病毒：21世纪最具毁灭力的计算机感染之一

扩展阅读

Nimda是微软Windows上的一个蠕虫，也是第一个能够在用户甚至不使用该蠕虫打开电子邮件的情况下自行运行的蠕虫。它也是第一个修改网站以提供自己的副本供下载的网站。它还有一个感染可执行文件的病毒组件。这是迄今为止发现的最具破坏性的蠕虫之一。

Nimda worm于2001年9月中旬首次在互联网上造成了严重破坏，并以电子邮件附件的形式传播开来。它还通过网络上的共享硬盘和感染浏览受感染服务器上托管的网页的用户进行移动。当以电子邮件的形式传播时，Nimda以名为“Readme.exe” 的文件隐藏自身。

但是，当Nimda文件通过受感染的网页传播时，通常会在提示下自动下载到用户的计算机上。最初的worm virus在大约30分钟内传播到世界各地，导致一些公司禁止用户在线，直到补丁和升级到位。

根据反病毒公司Kasperksy Labs发布的警报，Nimda在11月之前已经产生了三种变种：“Nimda.b”、“Nimda.c”和“Nimda.d”，不过没有一种特别危险，也没有一种与原来的不同。

然而，最新版本“Nimda.e”是original worm的重新编译版本，Kaspersky和TruSecure恶意代码技术总监Roger Thompson都这么认为。Roger Thompson在世界范围内经营着一个由“worm catcher”系统组成的网络，这个网络发现了第一个Nimda worm，尽管迄今为止只有一个worm catcher受到了这种new worm的攻击。

Thompson说，新的变种是一个重新编译的版本，这表明原作者已经对worm进行了修改并重新发布了它。Thompson还没有完全分析新的变种，但他确实注意到一些变化，他说：““Readme.exe”文件现在已更改为“sample.exe”，worm现在下载名为“cool.dll”和“httpodbc.dll”而之前它只获取“admin.dll”，代码中的一些子例程也被修改了，尽管这样做的效果还不清楚”。

Nimda最初是使用电子邮件和Web过滤器、防病毒更新和对微软IE（Internet Explorer）Web浏览器的更新的组合进行攻击的，该浏览器被用来自动下载worm virus。由于此最新版本中的文件名已更改，管理员将不得不更改正在筛选的文件名，但最好是阻止所有.exe。汤普森他还提醒用户升级浏览器。

Thompson说，尽管目前的变种病毒“远未达到最初Nimda worm的传播速度”，但该worm很可能会通过攻击上次worm爆发后没有得到充分修补的电脑来获取新的worm。
他说：“我不认为有太多人修补了他们的浏览器，升级浏览器的用户应该是“相当安全的”，但他补充说，“如果他们上次通过更新anti-virus [software]击败了Nimda，那么他们仍然可能会受到攻击。”

扩展阅读

Blaster worm是2003年主要针对微软平台的病毒程序。worm利用Microsoft远程过程调用（RPC）进程的安全漏洞（使用传输控制协议（TCP）端口号135）攻击计算机。该病毒通过电子邮件和其他方法自动传播到其他机器上。Blaster worm也被称为Lovsan、Lovesan和MSBlast。

2003年8月11日，这种worm首次被发现并开始传播。在2003年8月13日达到感染高峰之前，它的传播速度一直在上升。一旦一个网络（例如一家公司或一所大学）被感染，它在网络中就会传播得更快，因为防火墙通常不会阻止内部机器使用某个端口。ISP的过滤和对该Blaster worm的广泛拦截遏制了Blaster的传播。

2004年3月12日，来自Hopkins，Minnesota的18岁少年Jeffrey Parson因制造B型Blaster worm而被捕；他承认对此负责，并于2005年1月被判处18个月监禁。