人民网北京11月7日讯  前些时候肆虐一时的尼姆达（“中国一号”）计算机病毒，在发动完一轮攻击之后，现在改头换面成“本·拉登”病毒再次出现,并开始大规模传播。

　　“中国一号” （I-WORM/CHINA-1#）网络蠕虫病毒是根据病毒体内的标记“R.P.China Version 1.0”命名的，也称为“尼姆达”（Nimda）病毒。最近流行的“尼姆达”E是该病毒的一种变种，它修改了原来自身的一些错误（BUG）并且对病毒程序做了一些修改。“本·拉登”35840变种病毒继承了上述病毒的核心内容，采用了压缩和加密技术。该病毒体内含有声称“本·拉登”是“英雄”等内容。较以前相比，变种蠕虫程序使用了不同的文件名称、具有不同的文件的大小。

　　据国内权威杀毒软件厂商——北京江民公司的专家介绍，该病毒具有如下特征：

　　感染WINDOWS 9X/ME、WINDOWS NT、WINDOWS 2000操作系统。利用的是OUTLOOK的漏洞进行传播。当我们浏览含有病毒邮件时，病毒利用病毒体内VBScript代码在本地的可执行性（通过Windows Script Host进行），对当前计算机进行感染和破坏。一旦我们将鼠标箭头移到带有病毒体的邮件名上时，就能受到该网络蠕虫的感染，具有很强传染能力。

　　病毒在WINDOWS\SYSTEM目录内生成病毒文件RICHED20.DLL和LOAD.EXE，或README.EXE、MMC.EXE等等，在所有硬盘的根目录下生成ADMIN.DLL等名字的病毒文件，其字节数为：57344或35840字节。

　　变种网络蠕虫的破坏作用仍然是大量发送EMAIL邮件，找出Email地址发送病毒本身，邮件附件的名称是Sample.exe、Xerox.exe或MEP23XX.EXE，在邮件中看不到该附件。

　　病毒传染Html、nws、.eml、.doc、.exe等文件，将这些文件大部分破坏或替换。

　　病毒对系统文件SYSTEM.INI进行了修改，在[boot]组下的

　　shell=explorer.exe load.exe –dontrunold，

　　这样在系统每次启动时该病毒就会传染，驻留内存。

　　病毒利用IIS5.0的漏洞，上传ADMIN.DLL在C:\、D:\...并修改用户的主页，在主页后加了一个链接README.EML。感染的电脑均不断生成一个个随机文件名的eml文件，并且还在C:\INETPUB\Scripts或WINDOWS\TEMP目录中不断复制为TFTP00X.DAT、MEPXXXX.EXE的文件，其字节数为：57344、35840字节。变种网络蠕虫有4种传播方式：

　　(1)通过EMAIL发送在客户端看不到的邮件附件程序XXXXXX.exe,该部分利用了微软的OE信件浏览器的漏洞；

　　(2)通过网络共享的方式来传染给局域网络上的网络邻居，我们在网络上使用电脑时，建议不设置完全不使用密码的共享方式，设置密码可以有效防止该病毒的传播；

　　(3)通过没有补丁的IIS服务器来传播，该传播往往是病毒屡杀不绝的原因；

　　(4)通过感染普通的文件来传播，在这一点上和普通的病毒程序相同。

　　实际上(1)和(3)，我们普通的用户只要将微软的补丁程序下载运行，就能有效预防,。这是人们日常工作的习惯问题，或者说是病毒利用了人们的“疏忽”。

　　微软WEB的UNICODE 漏洞补丁程序的下载地址是：

http://www.microsoft.com/technet/security/bulletin/ms00-078.asp.

　　OUTLOOK的MIME漏洞补丁程序的下载地址：

http://www.microsoft.com/technet/security/bulletin/MS01-020.asp.清除该病毒只需要在Windows下运行最新版本的KVW3000的杀毒程序，就可以从内存中和硬盘上干净的清除。在DOS下，运行升级后的KV3000.exe或KVD3000.exe也可彻底的杀除病毒。

　　提醒广大计算机用户注意；经常留意江民公司的反病毒信息，及时升级您手中的KV3000。