病毒名称：Worm.Concept.57344概念蠕虫病毒简介 　 　 　 　 　　 　 　
病毒种类：蠕虫病毒
危害程度：
病毒简介：
　　这个病毒会通过email传播，当用户邮件的正文为空，似乎没有附件，实际上邮件中嵌入了病毒的执行代码，当用户用OUTLOOK、OUTLOOK EXPRESS（没有安装微软的补丁包的情况下）收邮件，在预览邮件时，病毒就已经不知不觉中执行了。病毒执行时会将自己复制到临时目录，再运行在临时目录中的副本。病毒还会在windows的system目录中生成load.exe文件，同时修改system.ini中的shell从shell=explorer.exe改为explorer.exe load.exe -dontrunold，使病毒在下次系统启动时仍然被激活。另外，在system目录下，病毒还会生成一个副本：riched20.dll。而riched20.dll目录在windows系统中就存在，而它就把它覆盖掉了。
　　而病毒复制到临时目录下的副本（有两个文件，文件名为？？？？？？？.tmp.exe），病毒会在系统下次启动时将他们删除（修改wininit.ini文件）。
为了通过邮件将自己传播出去，病毒使用了MAPI函数读取用户的email并从中读取SMTP地址和email地址。病毒还在windows的临时目录下生成一个eml格式的临时文件，大小为79225字节，该文件已经用BASE64编码将病毒包含进去。然后，病毒就用取得的地址将带毒邮件发送出去。
　　病毒的第二种传播途径就是用跟CodeBlue极其相似的方法，使用了IIS的UNICODE漏洞。
　　病毒的第三种传播途径是通过局域网的共享，传播到其它windows系统下。
另外，病毒运行时会利用ShellExcute执行系统中的一些命令如：NET.EXE、USER.EXE、SHARE.EXE等命令，将Guest用户添加到Guests、Administrators组（针对NT/2000/XP），并激活Guest用户。还将C盘根目录共享出来。

尼姆达病毒个人用户防范及对策
　　对于广大个人用户来说，仅仅使用 Outlook Express 或　Microsoft Outlook 预览了一封带有尼姆达病毒的邮件，或者在 Windows 的资源管理器中将焦点转换到一个带有尼姆达病毒的邮件文件(.eml)时，病毒就会迅速在计算机上感染！它不需要附件，不在邮件中嵌入脚本，所有通用的防范方法全都失去了作用！
防范措施：
1、下载浏览器升级补丁程序；
2、下载更新最新病毒库（学校网站->资源中心->软件下载->杀毒软件）尼姆达蠕虫病毒专杀工具或加以防范和查杀。
已感染处理措施：
1、局域网用户在杀毒的同时，硬盘中又会被其他计算机写入病毒体。这就造成“怎么杀也杀不完”的假相。相应的解决步骤如下：a.断掉该计算机的一切网络连接；b.用毒霸或专杀工具进行全盘查杀；c.取消所有的共享盘/共享文件；d.将计算机重新连上网络。按以上方法依次序处理所有被感染计算机。虽然这种隔离的方法比较繁琐，但能保障整个网络的正常运行。等清除完所有计算机后，网络中的病毒就被清除了。
2、个别用户被\"尼姆达\"染后,Windows 98 只能进入安全状态了，“尼姆达”修改\\WINDOWS\\SYSTEM.INI，使其能先于其他程序运行。但是“尼姆达”本身有bug，对于极少数的系统,他会改写（破坏）整个SYSTEM.INI。专杀工具增加了对SYSTEM.INI的修复功能，即使对“尼姆达”破坏的SYSTEM.INI，仍能修复。手动修复SYSTEM.INI：
<1> 在Windows目录下（一般是C:\\WINDOWS）有一个SYSTEM.INI的备份，名为system.ini.bak。因此只需用system.ini.bak覆盖SYSTEM.INI即可。(如在DOS状态：进入Windows目录，键入copy system.ini.bak system.ini /y，回车即可。）
<2> 如果找不到system.ini.bak，只需从另一台同样装有Windows 98 （或同样装有Windows 98第二版）的计算机上的Windows目录下拷贝一份SYSTEM.INI到本机上即可。<3> 极少数情况下，如果还不行，建议重装Windows 98。