新病毒尼姆达的防御

尼姆达是一种邮件型病毒，以.eml的形式存在，它利用了OUTLOOK的漏洞，当你点击（单击）带毒邮件文件时或用OUTLOOK浏览邮件时，系统自动提取邮件中的README.EXE,README.EXE将在windows 的temp目录下产生mep****.tmp,mep****.tmp.exe(具有隐藏属性，外表是一个IE图标，让人以为是一个.HTML，)。可用查看进程信息的工具查看正在运行的进程，如果发现mep****.tmp.exe的进程应马上终止。

比如在本人机子产生的文件如下：mep52a5.tmp ,mep52a5.tmp.exe 还有mep52a6.tmp.exe(无用),mep52a6.tmp。然后mep52a5.tmp.exe将被运行它将进行传染等工作（具体传染和破坏功能正在研究中，粗提上看与蓝色代码类似）。

在带毒邮件中有如下特点：

<!--StartFragment-->--====_ABC1234567890DEF_====

Content-Type: audio/x-wav; //////////关键

name="readme.exe" ////////////关键

Content-Transfer-Encoding: base64

Content-ID: <EA4DMGBP9p>

在SYSTEM.INI中发现如下修改：

[boot]

shell=explorer.exe load.exe -dontrunold

在WINDOWS\SYSTEM目录下发现LOAD.EXE(IE图标,属性隐藏)

如发现以上状况说明你的机子以被感染了.

防御如下（WIN9X/ME）：

安装保护硬盘程序如：冰盾V（内带的硬盘保护）、文件保护大师1.01(内带的硬盘保护卡）等。把虚拟内存设到别的地方（只要不和WINDOWS目录在一个驱动器）,把INTERNET的临时文件夹设到别的地方（只要不和WINDOWS目录在一个驱动器）.

运行硬盘保护,选择windows目录所在的驱动器保护ok。这样病毒将无法进入你的系统，你上网就安全了。(这只是临时预防,关键是下载OUTLOOK补丁和最新的杀毒软件)