返回列表 回复 发帖
cnangel

管理员

Rank: 9Rank: 9Rank: 9

UID
威望
1237 点 
金钱
10002 金币 
点卡
315 点 
1#
打印
tT
发表于 2003-8-14 05:23 | 只看该作者

新型病毒出现NT构架用户注意(转载)

新型病毒出现NT构架用户注意(转载)
近日一种新型的蠕虫病毒迅速在网络上流传开来。截至目前为止多数没有安装防火墙且通霄达旦开机的NT构架用户,都已经遭受的此病毒的攻击。

新型病毒的名称为 W32.Blaster.Worm 之所以能够如此迅速的在网络上流传和感染,是由于此病毒利用了NT构架内Remote Procedure Call (RPC)服务的漏洞来进行攻击的。

目前为止,可能受到攻击的系统包括 Windows 2000/XP 以及 Windows Server 2003。

病毒利用的端口包括

TCP Port 135, "DCOM RPC"
UDP Port 69, "TFTP"

目前得到的各种系统的中毒症状如下。

Windows 2000:复制/粘贴无效、svchost.exe服务不断报错、一些硬件加速的功能无法调用、无法拖拽、页面无法浏览等。

Windows XP:系统自动重新启动。

如果有上述症状建立立即安装如下补丁:

Win2000 中文版:

http://download.microsoft.com/download/2/8/1/281c0df6-772b-42b0-9125-6858b759e977/Windows2000-KB823980-x86-CHS.exe

Win2000 英文版:

http://download.microsoft.com/download/0/1/f/01fdd40f-efc5-433d-8ad2-b4b9d42049d5/Windows2000-KB823980-x86-ENU.exe

Windows XP 中文版:

http://download.microsoft.com/download/a/a/5/aa56d061-3a38-44af-8d48-85e42de9d2c0/WindowsXP-KB823980-x86-CHS.exe

Windows XP 英文版:

http://download.microsoft.com/download/9/8/b/98bcfad8-afbc-458f-aaee-b7a52a983f01/WindowsXP-KB823980-x86-ENU.exe

未尽陈列的系统用户我们建议立即登陆Windows Update来进行升级更新。我们建议所有Windows 2000/XP 以及 Windows Server 2003系统的用户立即安装此安全补丁。


若XP用户时常重新启动无法正常安装补丁可以通过命令 shutdown -a 来暂时缓解重起症状。开始=》运行=》shutdown -a

同时打开资源管理器检索一下是否有 msblast.exe 在运行,若有先在进程中删除再安装补丁。

win2k和winXP中文版的用户可到主力software/病毒与防火墙/ 下载。


补充措施(重要):

请注意,以上措施只是挽救已将崩溃的系统,修正病毒利用的系统漏洞。但是病毒并没有清除。请各位用户在安装好补丁之后,立即安装防毒软件或升级已安装病毒软件的最新病毒库,并全面检测你的系统以确保能够清楚残留在系统中的病毒。

手动清除方法:

1. 开始=》运行=》taskmgr,启动任务管理器。在其中查找 msblast.exe 进程,找到后在进程上单击右键,选择“结束进程”,点击“是”。

2. 检查系统的 %systemroot%system32 目录下(Win2K一般是C:WINNTSystem32)是否存在 msblast.exe 文件,如果有,删除它。
注意-必须先结束msblast.exe在系统中的进程才可以顺利的删除它。

3. 开始=》运行=》regedit,启动注册表编辑器。在注册表中找到 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun ,
删除其下的“windows auto update"="msblast.exe”键值。

4. 在DOS窗口打入 netstat -an 来查看是否还有病毒在快速的向外部发送packets。

这样可以清除蠕虫病毒在系统中的驻留,不过仍然建议大家使用正版的杀毒软件对系统进行全面的检测,以求万无一失。
收藏 分享 评分

                     我是一个呼吸着现在的空气而生活在过去的人
               这样的注定孤独,孤独的身处闹市却犹如置身于荒漠
                                     我已习惯了孤独,爱上孤独
                                 他让我看清了自我,还原了自我
                             让我再静静的沉思中得到快乐和满足
                                   再孤独的世界里我一遍又一遍
                                   不厌其烦的改写着自己的过去
                                             延伸到现在与未来
                                       然而那只是泡沫般的美梦
                                 产生的时刻又伴随着破灭的到来
                         在灰飞烟灭的瞬间我看到的是过程的美丽
                                      而不是结果的悲哀。。。
回复 引用

订阅 TOP

cnangel

管理员

Rank: 9Rank: 9Rank: 9

UID
威望
1237 点 
金钱
10002 金币 
点卡
315 点 
2#
发表于 2003-8-14 05:49 | 只看该作者

新型病毒出现NT构架用户注意(转载)

已经中招用户可以按照我的方法暂时缓解重启一法:
打开“控制面版”-“管理工具”-“服务”一项,找到以“R”开头的一项Remote Procedure Call,简称为“RPC,打开属性,找到“故障恢复”,选择“失败”时,“不操作”即可!

                     我是一个呼吸着现在的空气而生活在过去的人
               这样的注定孤独,孤独的身处闹市却犹如置身于荒漠
                                     我已习惯了孤独,爱上孤独
                                 他让我看清了自我,还原了自我
                             让我再静静的沉思中得到快乐和满足
                                   再孤独的世界里我一遍又一遍
                                   不厌其烦的改写着自己的过去
                                             延伸到现在与未来
                                       然而那只是泡沫般的美梦
                                 产生的时刻又伴随着破灭的到来
                         在灰飞烟灭的瞬间我看到的是过程的美丽
                                      而不是结果的悲哀。。。
回复 引用

TOP

cnangel

管理员

Rank: 9Rank: 9Rank: 9

UID
威望
1237 点 
金钱
10002 金币 
点卡
315 点 
3#
发表于 2003-8-15 10:46 | 只看该作者

新型病毒出现NT构架用户注意(转载)

[这个帖子最后由cnangel在 2003/08/15 11:49pm 第 1 次编辑]

漏洞描述
RPC(Remote Procedure Call)是 Windows 操作系统使用的一个远程过程调用协议。RPC 提供了一种进程间的通信机制,通过这一机制,允许在某台计算机上运行的程序顺畅地在远程系统上执行代码。协议本身源自OSF(开放式软件基础)RPC 协议,但增加了一些 Microsoft 特定的扩展 。

RPC 中处理通过 TCP/IP 的消息交换的部分有一个漏洞。此问题是由错误地处理格式不正确的消息造成的。这种特定的漏洞影响DCOM (分布式组件对象模型) 与 RPC 间的一个接口,该接口侦听TCP/IP 端口135,用于处理由客户端机器发送给服务器的DCOM对象激活请求(如UNC路径)。

该漏洞实际上是一个缓冲区溢出漏洞,成功利用此漏洞的攻击者有可能获得对远程计算机的完全控制,可以以本地系统权限执行任意指令。攻击者可以在系统上执行任意操作,如安装程序、查看或更改、删除数据、重新格式化硬盘或建立系统管理员权限的帐户。

在利用该漏洞时,攻击者需要发送特殊形式的请求到远程机器上的135端口。从而造成目标计算机受制于人,攻击者可以在它上面执行任意代码。

不同于以往发现的安全漏洞,该漏洞不仅影响作为服务器的Windows系统,同样也会影响个人电脑,所以潜在的受害者数量非常多。

DCOM (分布式对象模型)
分布式对象模型(DCOM))是一种能够使软件组件通过网络直接进行通信的协议。DCOM 以前叫做“网络 OLE”,它能够跨越包括 Internet 协议(例如 HTTP)在内的多种网络传输。可以从以下网站查阅有关 DCOM 的详细信息:http://www.microsoft.com/com/tech/dcom.asp

RPC(远程过程调用)
远程过程调用(RPC)是一种协议,程序可使用这种协议向网络中的另一台计算机上的程序请求服务。由于使用 RPC 的程序不必了解支持通信的网络协议的情况,因此 RPC 提高了程序的互操作性。在 RPC 中,发出请求的程序是客户程序,而提供服务的程序是服务器。

防范措施:
下载安装相应的补丁程序:

Microsoft已经为此发布了一个安全公告(MS03-026)以及相应补丁,请尽快下载安装。
http://www.microsoft.com/technet/security/bulletin/MS03-026.asp
您也可以下载相关的安全补丁:
winnt: http://www.ccert.edu.cn/pub/patch/MS/NT4_Cn/CHSQ823980i.EXE
win2000: http://www.ccert.edu.cn/pub/patch/MS/win2000/Windows2000-KB823980-x86-CHS.exe
winxp: http://www.ccert.edu.cn/pub/patch/MS/xp/WindowsXP-KB823980-x86-CHS.exe
win2003: http://www.ccert.edu.cn/pub/patch/MS/WindowsServer2003-KB823980-x86-CHS.exe


在防火墙上封堵 不必要的端口
135端口用于启动与远程计算机的 RPC 连接。连接到Internet的计算机应当在防火墙上封堵 135 端口,用以帮助防火墙内的系统防范通过利用此漏洞进行的攻击。
使用防火墙关闭所有不必要的端口,漏洞不仅仅影响135端口,还影响到大部分调用DCOM函数的服务端口,建议用户使用网络或是个人防火墙过滤以下端口:
135/TCP epmap
135/UDP epmap
139/TCP netbios-ssn
139/UDP netbios-ssn
445/TCP microsoft-ds
445/UDP microsoft-ds
593/TCP http-rpc-epmap
593/UDP http-rpc-epmap

有关为客户端和服务器保护 RPC 的详细信息,请访问:
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/rpc/rpc/writing_a_secure_rpc_client_or_server.asp
有关 RPC 使用的端口的详细信息,请访问:
http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/tcpip/part4/tcpappc.asp

手动为计算机启用(或禁用) DCOM:

运行 Dcomcnfg.exe。
如果您在运行 Windows XP 或 Windows Server 2003,则还要执行下面这些步骤:
单击“控制台根节点”下的“组件服务”。
打开“计算机”子文件夹。
对于本地计算机,请以右键单击“我的电脑”,然后选择“属性”。
对于远程计算机,请以右键单击“计算机”文件夹,然后选择“新建”,再选择“计算机”。
输入计算机名称。以右键单击该计算机名称,然后选择“属性”。
选择“默认属性”选项卡。
选择(或清除)“在这台计算机上启用分布式 COM”复选框。


如果您要为该计算机设置更多属性,请单击“应用”按钮以启用(或禁用) DCOM。否则,请单击“确定”以应用更改并退出
Dcomcnfg.exe。

                     我是一个呼吸着现在的空气而生活在过去的人
               这样的注定孤独,孤独的身处闹市却犹如置身于荒漠
                                     我已习惯了孤独,爱上孤独
                                 他让我看清了自我,还原了自我
                             让我再静静的沉思中得到快乐和满足
                                   再孤独的世界里我一遍又一遍
                                   不厌其烦的改写着自己的过去
                                             延伸到现在与未来
                                       然而那只是泡沫般的美梦
                                 产生的时刻又伴随着破灭的到来
                         在灰飞烟灭的瞬间我看到的是过程的美丽
                                      而不是结果的悲哀。。。
回复 引用

TOP

cnangel

管理员

Rank: 9Rank: 9Rank: 9

UID
威望
1237 点 
金钱
10002 金币 
点卡
315 点 
4#
发表于 2003-8-15 10:46 | 只看该作者

新型病毒出现NT构架用户注意(转载)

为自己的主机打上微软发布的相关修补补丁。下面为补丁的英文相关下栽地址 :

Windows NT 4.0 Server:
http://microsoft.com/downloads/details.aspx?FamilyId=2CC66F4E-217E-4FA7-BDBF-DF77A0B9303F&displaylang=en

Windows NT 4.0 Terminal Server Edition :
http://microsoft.com/downloads/details.aspx?FamilyId=6C0F0160-64FA-424C-A3C1-C9FAD2DC65CA&displaylang=en

Windows 2000:
http://microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F-220354449117&displaylang=en

Windows XP 32 bit Edition:
http://microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=en

Windows XP 64 bit Edition:
http://microsoft.com/downloads/details.aspx?FamilyId=1B00F5DF-4A85-488F-80E3-C347ADCC4DF1&displaylang=en

Windows Server 2003 32 bit Edition:
http://microsoft.com/downloads/details.aspx?FamilyId=F8E0FF3A-9F4C-4061-9009-3A212458E92E&displaylang=en

Windows Server 2003 64 bit Edition:
http://microsoft.com/downloads/details.aspx?FamilyId=2B566973-C3F0-4EC1-995F-017E35692BC7&displaylang=en

下面为补丁的中文相关下栽地址 :
Windows NT 4.0 Server:
http://microsoft.com/downloads/details.aspx?FamilyId=2CC66F4E-217E-4FA7-BDBF-DF77A0B9303F&displaylang=zh-cn

Windows NT 4.0 Terminal Server Edition :
http://microsoft.com/downloads/details.aspx?FamilyId=6C0F0160-64FA-424C-A3C1-C9FAD2DC65CA&displaylang=zh-cn

Windows 2000:
http://microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F-220354449117&displaylang=zh-cn

Windows XP 32 bit Edition:
http://microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=zh-cn

Windows XP 64 bit Edition:
http://microsoft.com/downloads/details.aspx?FamilyId=1B00F5DF-4A85-488F-80E3-C347ADCC4DF1&displaylang=zh-cn

Windows Server 2003 32 bit Edition:
http://microsoft.com/downloads/details.aspx?FamilyId=F8E0FF3A-9F4C-4061-9009-3A212458E92E&displaylang=zh-cn

Windows Server 2003 64 bit Edition:
http://microsoft.com/downloads/details.aspx?FamilyId=2B566973-C3F0-4EC1-995F-017E35692BC7&displaylang=zh-cn

2. 向用户宣传此漏洞的严重性和被蠕虫利用的危害性,促使用户修补该漏洞。

3. 在自己的路由器上封掉 TCP/135,UCP/135,甚至 TCP/139,UDP/139,TCP/445,UDP/445等RPC DCOM能利用的相关端口, 以阻断蠕虫的攻击和传播。

                     我是一个呼吸着现在的空气而生活在过去的人
               这样的注定孤独,孤独的身处闹市却犹如置身于荒漠
                                     我已习惯了孤独,爱上孤独
                                 他让我看清了自我,还原了自我
                             让我再静静的沉思中得到快乐和满足
                                   再孤独的世界里我一遍又一遍
                                   不厌其烦的改写着自己的过去
                                             延伸到现在与未来
                                       然而那只是泡沫般的美梦
                                 产生的时刻又伴随着破灭的到来
                         在灰飞烟灭的瞬间我看到的是过程的美丽
                                      而不是结果的悲哀。。。
回复 引用

TOP

cnangel

管理员

Rank: 9Rank: 9Rank: 9

UID
威望
1237 点 
金钱
10002 金币 
点卡
315 点 
5#
发表于 2004-3-29 12:10 | 只看该作者

新型病毒出现NT构架用户注意(转载)

[UploadFile=2_442_4.zip.info]
为了节省论坛空间,附件转移到相关页面下载
下载地址:冲击波病毒专杀工具

                     我是一个呼吸着现在的空气而生活在过去的人
               这样的注定孤独,孤独的身处闹市却犹如置身于荒漠
                                     我已习惯了孤独,爱上孤独
                                 他让我看清了自我,还原了自我
                             让我再静静的沉思中得到快乐和满足
                                   再孤独的世界里我一遍又一遍
                                   不厌其烦的改写着自己的过去
                                             延伸到现在与未来
                                       然而那只是泡沫般的美梦
                                 产生的时刻又伴随着破灭的到来
                         在灰飞烟灭的瞬间我看到的是过程的美丽
                                      而不是结果的悲哀。。。
回复 引用

TOP

返回列表