蠕虫病毒导致网络瘫痪

昨天我们的网络从Modem时代升级到了ADSL时代，所以在我这台服务器将Win98 Format装上了功能强大的Win2000 Server，作为我们局域网的服务器 并装上IIS准备试一试个人主页。
哪知，连接上网后不一会儿计算机报出内存资源不足，开始我以为是Win2000 Server自身庞大占用内存所造成的，马上关闭一些系统服务，重新启动计算机，但不到5分钟再次出现类似情况。仔细看看那，我在D盘根目录发现了一个来历不明的名为Admin.dll文件，将其删除后，重新启动，又再次出现，我懵了，“病毒”。马上找来一个正版的《金山毒霸2001》，升级后杀毒，病毒报告为“尼姆达”病毒。完成杀毒后重起计算机，我以为一切搞定，可又不到5分钟我的“金山毒霸”又再一次的“恭喜”我又染上了“尼姆达”。
实在无法了，将整个硬盘清空再重装系统，这下应该没有问题了吧！新系统安装完成重启后，差不多10分钟，那可怕的报警声又再次在我的耳边响起。更可怕的是局域网上的另外三台计算机都相继报警，出现的病毒都是一样的，都是这个“尼姆达”。这下可好了，网络全面瘫痪。
马上紧急搜捕“尼姆达”——在对尼姆达病毒的描述中有几点让我注意：1. 当用户用Ooutlook、Ooutlook Exprsss（没有安装微软的补丁包的情况下）收取邮件，在预览邮件时，病毒就已经不知不觉中执行了。2. 利用IIS的UNICODE漏洞进行传播。3. 利用了局域网的共享特性进行传播。局域网传播 ：它还会搜索本地网络的共享文件，无论是文件服务器还是终端客户机，一旦找到，便会将一个名为RICHED20.DLL的隐藏文件加入到每一个包含DOC和EML文件的目录中。当别的用户打开这些目录下的DOC或EML文档时， word、写字板、outlook等应用程序将执行RICHED20.DLL文件，从而使机器被感染。同时该病毒还可以感染服务器上被启动的远程文件。难怪会大规模的遭受“尼姆达”！
当我将硬盘清空以后“尼姆达”确实完全从我的计算机上消失了，但同时“尼姆达”早以通过局域网的共享传播到其它的计算机上，当我新系统安装完毕重新启动后，病毒又再次通过局域网重新回到我的Win2000 server上，而Win2000上自带的IIS服务器更让“尼姆达”有了“用武之地”。所以很快病毒又重新回到我的机子上，进而导致整个局域网瘫痪。
知己知彼之后，我们开始全面清除“尼姆达”。首先将整个局域网断开（如取掉HUB），这一步是非常的关键的，网络都是“尼姆达”的传播途径，如果忘了很可能后面做的事都徒劳了。对于Win2000的用户要重新清空硬盘，Win2000是提供的网络服务较多，漏洞也较多，所以清空硬盘是最好的方法，（或许你有更好的建议，请告诉我），对于Win98的用户可以使用杀毒工具杀毒即可，但要非常小心。重新安装系统，对于Win2000的用户要注意，在安装过程中将IIS的安装先暂时去掉，你可以在以后重新装上。系统安装好后到Microsoft的官方网站下载最新的系统补丁，这也是针对Windows的一些漏洞做补救。Win2000的用户最好是升级为Server2（仿佛在“尼姆达”面前Win2000比Win98显得更加不堪一击）最后选择一个较好的网络防火墙安装，推荐使用《金山毒霸2002》它所带有的金山网镖功能可以很好的防范网络上的蠕虫病毒 。
总结一下，这次网络全面瘫痪主要是由于病毒来袭后没有及时关闭局域网所至，而且Microsoft的IIS也是一个容易招来蠕虫的东东，对于Win98的用户来说由于系统本生提供很少的服务，受到袭击的可能性还相对较小。所以我们在对网络进行维护时要注意以下几项：1. 及时升级系统，获得最新的安全补丁；2. 没有需要的时候将共享关闭；3. 使用较好的网络防火墙；4. 如果发现病毒尽可能要在第一时间关闭网络，以免扩散。

作者:吕家恪