嘉定都市网

标题: 极度重视(危机win2000winxp)最新病毒 [打印本页]
作者: 天崖浪子    时间: 2003-8-13 20:23
标题: 极度重视(危机win2000winxp)最新病毒
8月12日“冲击波”病毒在国内泛滥,仅12日一天瑞星公司技术支持部门就接到上千个企事业单位局域网瘫痪的求助电话,并推出紧急上门救援的服务。瑞星杀毒软件已经在12日晚上紧急升级并发布了免费的专杀工具。到目前为止,这个病毒仍然在国内肆虐,“中招”用户数量巨大、难以统计。

  目前最严重的问题是,已经“中招”的用户怎么办?

  被“冲击波”病毒感染的机器,最常见的现象就是系统在启动1分钟后就反复重启,用户这时候根本就没有时间上网去下载专杀工具或打补丁,那该怎么办呢?瑞星反病毒专家告诉你一个办法,让你在一分钟之内搞定系统。用户在进行以下操作时,必须先将网络断开,以防止计算机重复感染。

  一、使用启动盘,在DOS环境下清除病毒。

  1. 当用户中招出现以上现象后,用DOS系统启动盘启动进入DOS环境下,进入C盘的操作系统目录.

  操作命令集:

  C:

  CD C:\\windows (或CD c:\\winnt)

  2. 查找目录中的“msblast.exe”病毒文件。

  命令操作集:

  dir msblast.exe /s/p

  3.找到后进入病毒所在的子目录,然后直接将该病毒文件删除。

  Del msblast.exe

  二、进入安全模式,手工清除病毒

  如果用户手头没有DOS启动盘,还有一个方法,就是启动系统后进入安全模式,然后搜索C盘,查找msblast.exe文件,找到后直接将该文件删除,然后再次正常启动计算机即可。

  三、当用户手工清除了病毒体后,应上网下载相应的补丁程序,用户可以先进入微软网站,下载相应的系统补丁,给系统打上补丁。以下是补丁的具体下载地址:

  ?Windows 2000 :

  http://microsoft.com/downloads/d ... &displaylang=en

  ?Windows XP 32 位版本 :

  http://microsoft.com/downloads/d ... &displaylang=en

  用户也可以直接登录瑞星网址:

  http://it.rising.com.cn/newSite/ ... 软补丁程序。

  注意:如果用户在手工清除完病毒后,在去上网下载补丁包时,计算机再次感染病毒并重启,这时就只能再次用手工清除该病毒,然后通过没感染该病毒的计算机下载相应的补丁,给系统打补丁,然后再做其它操作。

  四、打完补丁后,用户应下载一个瑞星专杀工具:http://it.rising.com.cn/service/ ... 时监控即可。

作者: ·在旭前缘·    时间: 2003-8-13 20:56
我的机器是98的,最近一直自动关机或是自动重启,天气又不热,老是这样,
会不会也是中了这个病毒啊?~!
作者: Guevara    时间: 2003-8-13 21:22
MSBLAST蠕虫紧急公告(Alert2003-zh-02)
MSBLAST蠕虫紧急公告!
发布日期:2003-08-12

CVE CAN ID:CAN-2003-0352
BUGTRAQ ID:8205

受影响的软件及系统:
====================
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows 2003

综述:
======
绿盟科技安全小组的HoneyPot监测到一种针对MS06-026 Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞的蠕虫正在活跃,危害极大。

更新记录:

2003-08-12  11  文档创建

分析:
======
北京时间2003年08月12日,绿盟科技安全小组的HoneyPot监测到了一种新的攻击,绿盟科技安全小组火速对捕获的数据样本分析和研究,已经明确,这是一个针对MS06-026 Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞(http://www.nsfocus.net/index.php?act=sec_bug&do=view&bug_id=5147)的蠕虫。因为该漏洞影响所有没有安装MS06-026补丁的Windows 2000、Windows XP、Windows 2003系统,不仅是服务器,也包括个人计算机在内,所以危害极大。

该蠕虫大小为6176字节。用LCC-Win32 v1.03编译,upx 1.22压缩,创建时间是2003年8月11日7点21分。

蠕虫感染系统后首先检测是否有名为"BILLY"的互斥体存在,如果检测到该互斥体,蠕虫就会退出,如果没有,就创建一个。

然后蠕虫会在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中添加以下键值:

"windows auto update"="msblast.exe"

以保证每次用户登录的时候蠕虫都会自动运行。

蠕虫还会在本地的UDP/69端口上建立一个tftp服务器,用来向其他受侵害的系统上传送蠕虫的二进制程序msblast.exe。

蠕虫选择目标IP地址的时候会首先选择受感染系统所在子网的IP,然后再按照一定算法随机在互连网上选择目标攻击。

一旦连接建立,蠕虫会向目标的TCP/135端口发送攻击数据。如果攻击成功,会监听目标系统的TCP/4444端口作为后门,并绑定cmd.exe。然后蠕虫会连接到这个端口,发送tftp命令,回连到发起进攻的主机,将msblast.exe传到目标系统上,然后运行它。
蠕虫所带的攻击代码来自一个公开发布的攻击代码,当攻击失败时,可能造成没有打补丁的Windows系统RPC服务崩溃,Windows XP系统可能会自动重启。该蠕虫不能成功侵入Windows 2003,但是可以造成Windows 2003系统的RPC服务崩溃,默认情况下,这将使系统重启。

蠕虫检测到当前系统月份是8月之后或者日期是15日之后,就会向微软的更新站点"windowsupdate.com"发动拒绝服务攻击。也就是说,从2003年8月16日开始就会一直进行拒绝服务攻击。

蠕虫代码中还包含以下文本数据:

I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!

解决方法:
==========
* 检测是否被蠕虫感染:

  1、检查系统的%systemroot%\system32目录下是否存在msblast.exe文件。请在命令提示符中按照下面键入:
    C:\>dir %systemroot%\system32\msblast.exe
    如果被感染,那么您可以看到类似的显示结果:
    C:\>dir %systemroot%\system32\msblast.exe
      驱动器 C 中的卷是 sys
      卷的序列号是 A401-04A9

      C:\WINNT\system32 的目录

    2003-08-12  03:03                6,176 msblast.exe
                    1 个文件          6,176 字节
                    0 个目录  2,701,848,576 可用字节

  2、检查注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run。请在命令提示符中按照下面键入:
    C:\>regedit /e tmp.txt HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    C:\>type tmp.txt
    如果被感染,那么您可以看到类似的显示结果:
    C:\>type tmp.txt
    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "windows auto update"="msblast.exe"

  3、在任务管理器中查看是否有msblast.exe的进程。如果有,说明蠕虫正在您的系统上运行。


* 预防蠕虫感染:

  安装MS03-026(http://www.microsoft.com/technet/security/bulletin/MS03-026.asp)的安全更新。下载地址:
  
  Windows NT 4.0 Server:

  http://microsoft.com/downloads/details.aspx?FamilyId=2CC66F4E-217E-4FA7-BDBF-DF77A0B9303F&displaylang=en

  Windows NT 4.0 Terminal Server Edition :

  http://microsoft.com/downloads/details.aspx?FamilyId=6C0F0160-64FA-424C-A3C1-C9FAD2DC65CA&displaylang=en

  Windows 2000:

  http://microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F-220354449117&displaylang=en

  Windows XP 32 bit Edition:

  http://microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=en

  Windows XP 64 bit Edition:

  http://microsoft.com/downloads/details.aspx?FamilyId=1B00F5DF-4A85-488F-80E3-C347ADCC4DF1&displaylang=en

  Windows Server 2003 32 bit Edition:

  http://microsoft.com/downloads/details.aspx?FamilyId=F8E0FF3A-9F4C-4061-9009-3A212458E92E&displaylang=en

  Windows Server 2003 64 bit Edition:

  http://microsoft.com/downloads/details.aspx?FamilyId=2B566973-C3F0-4EC1-995F-017E35692BC7&displaylang=en

  安装补丁后您需要重新启动系统才能使补丁生效,如有可能,请在下载完补丁后断开网络连接再安装补丁。

* 清除蠕虫

  如果发现系统已经被蠕虫感染,我们建议您按照以下步骤手工清除蠕虫:

  1、按照上述“预防蠕虫感染”的方法安装补丁。
  2、点击左下角的“开始”菜单,选择“运行”,在其中键入“taskmgr”,点击“确定”。这样就启动了任务管理器。在其中查找msblast.exe进程,找到后在进程上单击右键,选择“结束进程”,点击“是”。
  3、删除系统目录下的msblast.exe。
  4、点击左下角的“开始”菜单,选择“运行”,在其中键入“regedit”,点击“确定”。这样就启动注册表编辑器。在注册表中找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,删除其下的"windows auto update"="msblast.exe"。
  5、重新启动系统。




欢迎光临 嘉定都市网 (http://www.jiading.com.cn/) Powered by Discuz! X3.1