[注意]XP病毒警告！！

☆欣★

相关附件：点击下载　http://61.153.8.61:82/usr/20/20_1932.rar

最近一些朋友的XP会出现以下问题,在开机后几分钟会现让你关机的问题,这是135端口引起的病毒:
这是金山的网址,不一定有用
http://www.duba.net/download/3/91.shtml

附件是我下的文中提到的两个工具

以下是转贴:

病毒警告!!!!!

【病毒警告】Worm.SdBotRPC、流言、Backdoor.IRC.Cirebot【病毒警告】 攻击RPC服务，造成系统强行重新启动
微软RPC 接口远程任意可执行代码漏洞的通告
http://www.duba.net 　(2003-08-06 21:36)　　文章来源：国家计算机病毒应急处理中心

　　国家计算机病毒应急处理中心根据微软公司发布的通告，即关于RPC 接口中远程任意可执行代码漏洞（823980），向计算机用户发出预警。如果成功利用此漏洞，攻击者就有可能获得对远程计算机的完全控制，并以本地系统权限执行任意指令。攻击者可以在系统上执行任意操作，如安装程序、查看或更改、删除数据、重新格式化硬盘或建立系统管理员权限的帐户。

　　Microsoft RPC接口远程任意代码可执行漏洞受影响的软件：

　　Microsoft Windows NT 4.0

　　Microsoft Windows NT 4.0 Terminal Services Edition

　　Microsoft Windows 2000

　　Microsoft Windows XP Microsoft Windows Server 2003

　　漏洞描述

　　 RPC（Remote Procedure Call）是 Windows 操作系统使用的一个远程过程调用协议。RPC 提供了一种进程间的通信机制，通过这一机制，允许在某台计算机上运行的程序顺畅地在远程系统上执行代码。协议本身源自OSF（开放式软件基础）RPC 协议，但增加了一些 Microsoft 特定的扩展 。

　　 RPC 中处理通过 TCP/IP 的消息交换的部分有一个漏洞。此问题是由错误地处理格式不正确的消息造成的。这种特定的漏洞影响DCOM （分布式组件对象模型） 与 RPC 间的一个接口，该接口侦听TCP/IP 端口135，用于处理由客户端机器发送给服务器的DCOM对象激活请求（如UNC路径）。

　　 该漏洞实际上是一个缓冲区溢出漏洞，成功利用此漏洞的攻击者有可能获得对远程计算机的完全控制，可以以本地系统权限执行任意指令。攻击者可以在系统上执行任意操作，如安装程序、查看或更改、删除数据、重新格式化硬盘或建立系统管理员权限的帐户。

　　 在利用该漏洞时，攻击者需要发送特殊形式的请求到远程机器上的135端口。从而造成目标计算机受制于人，攻击者可以在它上面执行任意代码。

　　 不同于以往发现的安全漏洞，该漏洞不仅影响作为服务器的Windows系统，同样也会影响个人电脑，所以潜在的受害者数量非常多。

　　DCOM （分布式对象模型）

　　 分布式对象模型（DCOM））是一种能够使软件组件通过网络直接进行通信的协议。DCOM 以前叫做“网络 OLE”，它能够跨越包括 Internet 协议（例如 HTTP）在内的多种网络传输。可以从以下网站查阅有关 DCOM 的详细信息：http://www.microsoft.com/com/tech/dcom.asp

　　RPC（远程过程调用）

　　 远程过程调用（RPC）是一种协议，程序可使用这种协议向网络中的另一台计算机上的程序请求服务。由于使用 RPC 的程序不必了解支持通信的网络协议的情况，因此 RPC 提高了程序的互操作性。在 RPC 中，发出请求的程序是客户程序，而提供服务的程序是服务器。 [未结束]

解决：
Microsoft Security Bulletin MS03-026
Buffer Overrun In RPC Interface Could Allow Code Execution (823980)
http://www.microsoft.com/technet/tr...in/MS03-026.asp

请按照操作系统版本下载相应的补丁，如果已经中毒，请杀毒
金山毒霸组已经推出专杀，看 http://www.duba.net/download/3/91.shtml

Symantec分析报告：
http://securityresponse.symantec.co...rc.cirebot.html


为了方便大家更新补丁,下面这个是简体中文的补丁下载
http://download.microsoft.com/do ... 823980-x86-CHS.exe( for  xp  )

请尽快安装补丁程序,发现中招了的马上用金山专杀工具断网杀毒!!!


这是另一个方法:转贴
解决“流言”的几种方法，最新XP老是无辜重启的用户一定要进来希望置顶。
1.最有效的方法，下载微软的补丁程序，http://www.microsoft.com/technet ... lletin/MS03-026.asp
WINXP简体中文版的直接点这里
http://microsoft.com/downloads/d ... C-9532-3DE40F69C074
这是最好的方法，但可能有相当数量的XP用户会由于“语言不符”而被拒绝安装，也不要急，请看下面的

2.使用防火墙，推荐个人用户使用Sygate Personal Firewall Pro最新版，我用了之后就没再出事。

3.用网络防火墙(如金山网镖)关闭“135 139 445”三个端口。杜绝被攻击的根源。

4.使用金山毒霸“流言”蠕虫病毒专杀工具，下载页面
http://www.duba.net/download/3/91.shtml
奇怪的是在我的机器上竟然查不出来-_-

5.其他都不用的话，用最简单的，在xp出现自动关机窗口的时候，快速点击“运行”，输入cmd(command)回车，键入 shutdown -a 可以取消关机进程，也可以直接做一个快捷方式放在桌面上2000下把xp的shutdown.exe 拷贝过去也可以用。

6.查看网络连接－－本地连接－－右击选属性－－－双击INTERNET协议（TCI/IP）－－高级－－选项－－你会看到：（TCI/IP）筛选---选属性－－勾上：启用（TCI/IP）筛选，“TCP端口”选择“只允许”－－按“添加”，输入：80，确定。这样基本上不会有问题了,不过，代价就是以后只能看网页了-_-.

此文可任意拷贝用与帮助各位受“流言”侵害的用户。
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
再引用一段文字介绍一下“流言”
美国当地时间7月31日，互联网安全组织美国CERT/CC发布警告称，一种恶意使用Windows严重安全漏洞的

蠕虫（自动攻击工具）已经出现在互联网上。该蠕虫通过TCP 135端口入侵对象机器后建立“后门”。建

立后门以后，该机器就可能被攻击者完全控制。同时，还警告说发现了一种专门针对即使安装微软补丁程

序也无法消除的安全漏洞的代码。

　　建立后门

　　可突破7月17日公开的“超级”安全漏洞--“RPC接口缓存溢出有可能导致执行任意代码（823980）（

MS03-026）”的代码（Exploit）自7月26日以来已经公布于多个邮件列表和Web站点上。目前，一种对此

进行“改进”后能自动攻击安全漏洞的工具、即蠕虫据称也已问世。

　　CERT/CC已经确认蠕虫由TCP 135端口入侵攻击对象机器，并建立后门。所谓后门就是指为了由外部入

侵机器而在机器上建立的“方便之门”。即便杀除了入侵的蠕虫，只要后门还在，就会允许任意的非法访

问。

　　后门的几个“版本”会在TCP 4444端口等待外部（攻击者）的连接。连接到后门后，攻击者就能够在

本地系统（Local System）的高级权限下随意操作机器。有的后门版本甚至允许攻击者指定端口编号。

　　另外，CERT/CC还对“RPC接口缓存溢出有可能导致执行任意代码（823980）（MS03-026）”的补丁程

序进行修正的RPC相关安全漏洞发出了警告，该补丁程序无法修正该漏洞。不过，但“MS03-026”的补丁

程序无法修正的安全漏洞仅限于Windows 2000。

　　“MS03-026”的对象不包括Windows 98/Me，而且即便该漏洞被利用，机器也只会受到DoS（拒绝服务

）攻击，机器不会被攻击者控制。虽说如此，由于此安全漏洞的代码也已公开，因此决不可大意。

　　因该针对“MS03-026”安装相关的补丁程序。如果不能进行修正的话，则可以使用防火墙关闭不必要

的端口，以防止外部攻击。

　　而无论是哪种安全漏洞，由于可恶意使用的代码（蠕虫）均攻击135端口，因此必须把该端口关闭。

另外，由于有时还会使用139和445端口，因此CERT/CC建议最好也予以关闭。也就是说建议用户关闭

“TCP/UDP 135端口”、“TCP/UDP 139端口”和“TCP/UDP 445端口”。

－－－－－－－－－－－－－－－－－－
不管这里有没有放过，我都要放了～～～～这张帖子是转贴，所以有必要的话，大家可以互相帮助～呵呵～～～

雕弓满月

早知道了~~~2000也有类似问题的

EDISON

我的2000也没有的