嘉定都市网

标题: [注意]XP病毒警告!! [打印本页]
作者: ☆欣★    时间: 2003-8-13 08:57
标题: [注意]XP病毒警告!!

相关附件:点击下载 http://61.153.8.61:82/usr/20/20_1932.rar

最近一些朋友的XP会出现以下问题,在开机后几分钟会现让你关机的问题,这是135端口引起的病毒:
这是金山的网址,不一定有用
http://www.duba.net/download/3/91.shtml

附件是我下的文中提到的两个工具

以下是转贴:

病毒警告!!!!!

【病毒警告】Worm.SdBotRPC、流言、Backdoor.IRC.Cirebot【病毒警告】 攻击RPC服务,造成系统强行重新启动
微软RPC 接口远程任意可执行代码漏洞的通告
http://www.duba.net  (2003-08-06 21:36)  文章来源:国家计算机病毒应急处理中心

  国家计算机病毒应急处理中心根据微软公司发布的通告,即关于RPC 接口中远程任意可执行代码漏洞(823980),向计算机用户发出预警。如果成功利用此漏洞,攻击者就有可能获得对远程计算机的完全控制,并以本地系统权限执行任意指令。攻击者可以在系统上执行任意操作,如安装程序、查看或更改、删除数据、重新格式化硬盘或建立系统管理员权限的帐户。

  Microsoft RPC接口远程任意代码可执行漏洞受影响的软件:

  Microsoft Windows NT 4.0

  Microsoft Windows NT 4.0 Terminal Services Edition

  Microsoft Windows 2000

  Microsoft Windows XP Microsoft Windows Server 2003

  漏洞描述

   RPC(Remote Procedure Call)是 Windows 操作系统使用的一个远程过程调用协议。RPC 提供了一种进程间的通信机制,通过这一机制,允许在某台计算机上运行的程序顺畅地在远程系统上执行代码。协议本身源自OSF(开放式软件基础)RPC 协议,但增加了一些 Microsoft 特定的扩展 。

   RPC 中处理通过 TCP/IP 的消息交换的部分有一个漏洞。此问题是由错误地处理格式不正确的消息造成的。这种特定的漏洞影响DCOM (分布式组件对象模型) 与 RPC 间的一个接口,该接口侦听TCP/IP 端口135,用于处理由客户端机器发送给服务器的DCOM对象激活请求(如UNC路径)。

   该漏洞实际上是一个缓冲区溢出漏洞,成功利用此漏洞的攻击者有可能获得对远程计算机的完全控制,可以以本地系统权限执行任意指令。攻击者可以在系统上执行任意操作,如安装程序、查看或更改、删除数据、重新格式化硬盘或建立系统管理员权限的帐户。

   在利用该漏洞时,攻击者需要发送特殊形式的请求到远程机器上的135端口。从而造成目标计算机受制于人,攻击者可以在它上面执行任意代码。

   不同于以往发现的安全漏洞,该漏洞不仅影响作为服务器的Windows系统,同样也会影响个人电脑,所以潜在的受害者数量非常多。

  DCOM (分布式对象模型)

   分布式对象模型(DCOM))是一种能够使软件组件通过网络直接进行通信的协议。DCOM 以前叫做“网络 OLE”,它能够跨越包括 Internet 协议(例如 HTTP)在内的多种网络传输。可以从以下网站查阅有关 DCOM 的详细信息:http://www.microsoft.com/com/tech/dcom.asp

  RPC(远程过程调用)

   远程过程调用(RPC)是一种协议,程序可使用这种协议向网络中的另一台计算机上的程序请求服务。由于使用 RPC 的程序不必了解支持通信的网络协议的情况,因此 RPC 提高了程序的互操作性。在 RPC 中,发出请求的程序是客户程序,而提供服务的程序是服务器。 [未结束]

解决:
Microsoft Security Bulletin MS03-026
Buffer Overrun In RPC Interface Could Allow Code Execution (823980)
http://www.microsoft.com/technet/tr...in/MS03-026.asp

请按照操作系统版本下载相应的补丁,如果已经中毒,请杀毒
金山毒霸组已经推出专杀,看 http://www.duba.net/download/3/91.shtml

Symantec分析报告:
http://securityresponse.symantec.co...rc.cirebot.html


为了方便大家更新补丁,下面这个是简体中文的补丁下载
http://download.microsoft.com/do ... 823980-x86-CHS.exe( for  xp  )

请尽快安装补丁程序,发现中招了的马上用金山专杀工具断网杀毒!!!


这是另一个方法:转贴
解决“流言”的几种方法,最新XP老是无辜重启的用户一定要进来希望置顶。
1.最有效的方法,下载微软的补丁程序,http://www.microsoft.com/technet ... lletin/MS03-026.asp
WINXP简体中文版的直接点这里
http://microsoft.com/downloads/d ... C-9532-3DE40F69C074
这是最好的方法,但可能有相当数量的XP用户会由于“语言不符”而被拒绝安装,也不要急,请看下面的

2.使用防火墙,推荐个人用户使用Sygate Personal Firewall Pro最新版,我用了之后就没再出事。

3.用网络防火墙(如金山网镖)关闭“135 139 445”三个端口。杜绝被攻击的根源。

4.使用金山毒霸“流言”蠕虫病毒专杀工具,下载页面
http://www.duba.net/download/3/91.shtml
奇怪的是在我的机器上竟然查不出来-_-

5.其他都不用的话,用最简单的,在xp出现自动关机窗口的时候,快速点击“运行”,输入cmd(command)回车,键入 shutdown -a 可以取消关机进程,也可以直接做一个快捷方式放在桌面上2000下把xp的shutdown.exe 拷贝过去也可以用。

6.查看网络连接--本地连接--右击选属性---双击INTERNET协议(TCI/IP)--高级--选项--你会看到:(TCI/IP)筛选---选属性--勾上:启用(TCI/IP)筛选,“TCP端口”选择“只允许”--按“添加”,输入:80,确定。这样基本上不会有问题了,不过,代价就是以后只能看网页了-_-.

此文可任意拷贝用与帮助各位受“流言”侵害的用户。
----------------------------------
再引用一段文字介绍一下“流言”
美国当地时间7月31日,互联网安全组织美国CERT/CC发布警告称,一种恶意使用Windows严重安全漏洞的

蠕虫(自动攻击工具)已经出现在互联网上。该蠕虫通过TCP 135端口入侵对象机器后建立“后门”。建

立后门以后,该机器就可能被攻击者完全控制。同时,还警告说发现了一种专门针对即使安装微软补丁程

序也无法消除的安全漏洞的代码。

  建立后门

  可突破7月17日公开的“超级”安全漏洞--“RPC接口缓存溢出有可能导致执行任意代码(823980)(

MS03-026)”的代码(Exploit)自7月26日以来已经公布于多个邮件列表和Web站点上。目前,一种对此

进行“改进”后能自动攻击安全漏洞的工具、即蠕虫据称也已问世。

  CERT/CC已经确认蠕虫由TCP 135端口入侵攻击对象机器,并建立后门。所谓后门就是指为了由外部入

侵机器而在机器上建立的“方便之门”。即便杀除了入侵的蠕虫,只要后门还在,就会允许任意的非法访

问。

  后门的几个“版本”会在TCP 4444端口等待外部(攻击者)的连接。连接到后门后,攻击者就能够在

本地系统(Local System)的高级权限下随意操作机器。有的后门版本甚至允许攻击者指定端口编号。

  另外,CERT/CC还对“RPC接口缓存溢出有可能导致执行任意代码(823980)(MS03-026)”的补丁程

序进行修正的RPC相关安全漏洞发出了警告,该补丁程序无法修正该漏洞。不过,但“MS03-026”的补丁

程序无法修正的安全漏洞仅限于Windows 2000。

  “MS03-026”的对象不包括Windows 98/Me,而且即便该漏洞被利用,机器也只会受到DoS(拒绝服务

)攻击,机器不会被攻击者控制。虽说如此,由于此安全漏洞的代码也已公开,因此决不可大意。

  因该针对“MS03-026”安装相关的补丁程序。如果不能进行修正的话,则可以使用防火墙关闭不必要

的端口,以防止外部攻击。

  而无论是哪种安全漏洞,由于可恶意使用的代码(蠕虫)均攻击135端口,因此必须把该端口关闭。

另外,由于有时还会使用139和445端口,因此CERT/CC建议最好也予以关闭。也就是说建议用户关闭

“TCP/UDP 135端口”、“TCP/UDP 139端口”和“TCP/UDP 445端口”。

------------------
不管这里有没有放过,我都要放了~~~~这张帖子是转贴,所以有必要的话,大家可以互相帮助~呵呵~~~
作者: 雕弓满月    时间: 2003-8-13 10:27
早知道了~~~2000也有类似问题的
作者: EDISON    时间: 2003-8-13 12:25
我的2000也没有的



欢迎光临 嘉定都市网 (http://www.jiading.com.cn/) Powered by Discuz! X3.1