[轉貼]W32.Blaster.Worm
目前已經有 DCOM RPC 的漏洞被不肖分子所利用, 撰寫出分散式攻擊的程式,
被攻擊的電腦將常駐一個軟體, 不但開啟後門並且自動持續攻擊其他台電腦!! Symantec 公司將其命名為 W32.Blaster.Worm 網址在: http://securityresponse.symantec.com...ster.worm.html 該蠕蟲作者有計畫地將中毒的電腦於 8/15 開始,持續攻擊 windowsupdate.com 網站。 已經確定全系列的 NT-Based 系統皆受影響. Windows 2000 從 SP0, SP1, SP2, SP3, SP4 全部受影響. Windows XP 從 SP0, SP1 全部受影響. Microsoft Windows NTR 4.0 Microsoft Windows NT 4.0 Terminal Services Edition Microsoft Windows Server? 2003 !! 怎樣確定自己的電腦已經中毒 ? * 如果你的電腦動不動就跟你說要重新開機 (60 秒) * 或是: [開始]->執行->Taskmgr.exe [ENTER] 後, 看一下有沒有 MSBLAST.EXE 這個 程式正在運作, 如果有, 也表示你已經中毒! !! 中毒解毒程序: (確定這樣的解法沒有問題) 0 . 開始->執行->_cmd_.exe [ENTER] (開啟Command line 視窗) 若系統跟你說要重新開機了, 請輸入shutdown -a [enter] 取消重新開機指令. 1 . 刪除 MSBLAST.EXE 這個 Process (直接在上面按右鍵, 選結束處理程序即可) 2 . 到微軟官方網站抓 DCOM RPC 的漏洞 Patch, 先存到硬碟去. 微軟官方網站: http://www.microsoft.com/technet/sec...n/MS03-026.asp 3 . 拔掉網路線 4 . 用檔案總管, 到 WindowsSystem32 這個目錄下面找到 MSBLAST.EXE, 按右鍵選內容將唯讀取消掉, 然後把這個程式*掉. 5 . 開始->執行->regedit.exe , 並且到: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 下面 將右邊的 "windows auto update" 這個鍵值直接砍掉, 砍掉後關閉登陸編輯程式. 6 . 執行你剛剛所抓下來的 Patch 7 . 重新開機 8 . 接上網路線, 大功告成. ps. 別忘了,若您的電腦沒有中毒,也請盡快灌 Patch :) |
補充一下
(中華電信HINET用戶都會收到MAIL) 危險病毒通告--WORM_MSBLAST.A 摘要: 一隻名為WORM_MSBLASR.A的新型駭客病毒,正透過微軟 Windows 系統的漏洞, 橫掃攻擊全球各地電腦用戶。此次WORM_MSBLASR.A傳染途徑和年初爆發的「 SQL警戒病 毒」 相似,受病毒感染的電腦會利用 Windows系統漏洞採取阻斷服務攻擊 135連接埠中RPC (remote Procedure Call ) Buffer Overrun的弱點,造成電腦無法正常作業或當機停 擺及網路壅塞 ,同時再透過69與4444連結埠去攻擊感染更多的電腦。目前已知在美洲、南美洲、歐洲 與台灣均有 災情陸續傳出,並且造成某些伺服器停擺及企業Intranet網路壅塞無法使用。 影響系統: Microsoft Windows 2000 Microsoft Windows XP Microsoft Windows 2003 決解方法: 此病毒是利用Microsoft MS03-026漏洞進行感染、散播。請盡速下載安裝修補程式 (參閱http://www.microsoft.com/taiwan/secu...s/MS03-026.asp)。 如果您的電腦受到此蠕蟲感染,可以依下列方式解決。 停止惡意程式 : 1.這個步驟可以終止在記意體中執行的惡意程式. 2.開啟Windows程序管理員(Task Manager),請按鍵盤 CTRL+SHIFT+ESC, 然後點選處理程序(process)標籤. 3.在所有的程序中,找出下列程序名稱: MSBLAST.EXE 4.點選此惡意程序,並按下下方的終止程序按鈕. 5.請關閉程序管理員,在開啟一次程序管理員 ,檢查程序是否確實被停止. 6.關閉程序管理員. 移除登入檔的自動啟動程序 : 1.這個步驟從登入檔(registry)中移除自動啟動蠕蟲的程式,以避免開機時自動執行惡 意程式. 2.開啟登入檔編輯程式.請點選 開始>執行, 輸入 Regedit, 然後按下 Enter鍵. 3.在左方的子視窗中, 依下列順序點選: HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run 4.在右方的子視窗中,點選並刪除下列的值: Windows auto update" = MSBLAST.EXE 5.關閉登入檔編輯程式. 安裝修補程式: 請參閱http://www.microsoft.com/taiwan/secu...s/MS03-026.asp 參考網站: 賽門鐵克: http://securityresponse.symantec.com...aster.worm.htm l 趨勢科技: http://www.trendmicro.com/vinfo/zh-t...p?VName=WORM_M SBLAST.A |
據了解,昨天我一堆朋友中標... 唉~真不好意思,雖然我早就收到警告信函,但是沒來得及派發出去給各位... :P
|
[台灣微軟正式版] -- 網路病毒 W32.Blaster.Worm 針對W32.Blaster.Worm的病毒,已提供安全性修正程式MS03-026於微軟網站上,請企業客戶儘快到http://www.microsoft.com/taiwan/secu...s/ms03-026.asp 下載並且安裝,以避免遭受攻擊。 該安全性修正程式MS03-026已於今年7月17日公佈於微軟公司網站上。若用戶已安裝該修正程式即可免受此次病毒的威脅,請尚未安裝的企業客戶儘快下載並且安裝,以避免遭受攻擊。 台灣微軟公司並於本週 (8/12~8/15) 提供全天候24小時電話支援服務,有需要的用戶可以直撥02-66359111洽詢。或者可於上班時間透過微軟客服專線02-66263366洽詢。更多相關的技術支援訊息請參考網站:http://www.microsoft.com/taiwan/support/。 病毒通知: W32.Blaster.Worm -------------------------------------------------------------------------------- 1. 病毒通知: W32.Blaster.Worm 2. 如何手動移除W32.Blaster.Worm Q01:病毒通知: W32.Blaster.Worm A: 影響產品: Windows XP, Windows 2000, Windows Server 2003, Windows NT 4.0, NT 4.0 Terminal Services Edition 說明: 微軟安全反應中心已經發佈W32.Blaster.Worm的病毒通知。此病毒名稱對於不同的防毒軟體有不同的名稱定義W32/Lovsan.worm (McAfee), WORM_MSBLAST.A (Trendmicro), Win32.Posa.Worm (Computer Associates),您需要安裝微軟的安全性修正程式MS03-026以避免遭受病毒的攻擊。 造成的影響: 透過RPC Port來傳遞,遭受感染的機器會不斷的重新啟動,且在%systemroot%System32 目錄底下您可以發現一個檔案名稱為msblast.exe 技術細節: 此病毒會掃描您網段中的電腦,並透過TCP Port 135傳送病毒本身,如果目的端電腦沒有安裝MS03-026,此病毒將會感染此電腦,並在登錄檔中建立以下登錄值HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill 中毒現象: 1. Windows 會無預期的重新開機. 2. 在%systemroot%System32 目錄底下您可以發現一個檔案名稱為msblast.exe 3. 在系統中存在TFTP*的檔案 解決方法: 遭受病毒感染的解決步驟: 如果您不是Windows XP的用戶: 1. 開始, 執行, 輸入 cmd, 確定 2. 請從Windows XP 的電腦拷貝shutdown.exe,執行 shutdown -a ,來停止關機程序 3. 按 CTRL+SHIFT+ESC 後, 在工作管理員裡, 選擇此惡意程式的處理程序, 然後按下"結束處理程序"的按鈕 4. 請更新防毒軟體的病毒碼(如果客戶的系統沒有安裝防毒軟體,請連線到此網址執行線上掃瞄http://housecall.antivirus.com)。 5. 下載修正程式 MS03-026 下載位址:http://www.microsoft.com/technet/tre...n/MS03-026.asp 6. 拔除網路線 7. 掃描您的系統確定沒有病毒存在(您可以下載您防毒軟體廠商所提供的清除工具來刪除病毒) 8. 安裝修正程式 9. 重新啟動電腦 10. 接上網路線 如果您是 Windows XP的用戶: 1. 開始, 執行, 輸入 cmd, 確定 2. 在 command prompt, 輸入 shutdown -a , 停止關機程序 3. 按 CTRL+SHIFT+ESC 後, 在工作管理員裡, 選擇此惡意程式的處理程序, 然後按下"結束處理程序"的按鈕 4. 請更新防毒軟體的病毒碼(如果客戶的系統沒有安裝防毒軟體,請連線到此網址執行線上掃瞄http://housecall.antivirus.com)。 5.下載修正程式 MS03-026 下載位址:http://www.microsoft.com/technet/tre...n/MS03-026.asp 6. 拔除網路線 7. 掃描您的系統確定沒有病毒存在(您可以下載您防毒軟體廠商所提供的清除工具來刪除病毒) 8. 安裝修正程式 9. 重新啟動電腦 10. 啟動 網際網路連線防火牆 (ICF). 參考文件: http://support.microsoft.com/?id=283673 手動啟動步驟如下: a. 開啟控制台開啟網路連線 b. 針對您的網路卡按滑鼠右鍵選內容 c. 點選進階標籤,網際網路連線防火牆 (ICF)], 請選取 [以限制或防止來自網際網路對這台電腦的存取來保護我的電腦] 核取方塊。 11. 接上網路線 尚未遭受病毒感染應採取的步驟: 為了確保您的系統不會遭受此病毒的攻擊,您需要安裝微軟的安全性修正程式MS03-026 下載位址:http://www.microsoft.com/technet/tre...n/MS03-026.asp 更多資訊: 您可以參考其他防毒軟體廠商所提供的相關資訊: Network Associates: http://us.mcafee.com/virusInfo/defau...virus_k=100547 Trend Micro: http://www.trendmicro.com/vinfo/viru...WORM_MSBLAST.A Symantec: http://securityresponse.symantec.com...ster.worm.html Computer Associates: http://www3.ca.com/virusinfo/virus.aspx?ID=36265 For more information on Microsoft’s Virus Information Alliance please visit this link: http://www.microsoft.com/technet/security/virus/via.asp 如欲了解更多此病毒的相關資訊,請直接洽詢您的防毒軟體廠商 Q02:如何手動移除W32.Blaster.Worm A: 1. 拔除網路線 2. 關閉惡性程式於記憶體中的處理程序. a. 開啟Windows工作管理員, 按CTRL+SHIFT+ESC, 點選處理程序標籤. b. 於正在執行的處理程序清單中, 找到下述執行檔:MSBLAST.EXE c. 選擇此惡意程式的處理程序, 然後按下"結束處理程序"的按鈕. d. 為了確認是否已經結束所有惡意程式的處理程序, 關閉工作管理員,然後再次開啟. e. 關閉工作管理員. 3. 移除登錄編輯程式中自動啟動的機碼 移除登錄編輯程式中自動啟動的機碼可防止惡意程式在開機的時候自動執行. a. 開啟登錄編輯程式.點選開始>執行, 輸入REGEDIT, 然後按Enter. b. 在左側視窗中, 滑鼠雙擊下述路徑: HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run c. 在右側視窗中,刪除此機碼: "windows auto update" = MSBLAST.EXE d. 關閉登錄編輯程式. 4. 移除病毒檔案 a. 開啟檔案總管 b. 在WindowsSystem32的目錄底下找到 Msblast.exe ,按滑鼠右鍵選刪除 5. 下載修正程式: http://www.microsoft.com/taiwan/secu...s/MS03-026.asp 6. 接上網路線 |
=====================================================
假好心「疾風」變種病毒,解毒不成反釀鉅禍,再度引爆嚴重災情 ======================================================= 趨勢科技今(19日)發佈高度病毒警訊 網路安全領導廠商趨勢科技今日(19日)針對「疾風病毒」WORM_MSBLAST.A又一新變種病毒WORM_MSBLAST.D發出第二次最高的紅色病毒警訊,這隻變種病毒不但挾帶相同攻擊手法,還會強迫電腦下載微軟修正程式,令許多企業在數百台電腦同時間下載修正程式的結果,造成網路流量暴增,導致網站擁塞癱瘓[根據趨勢科技目前掌握到的最新消息,此變種病毒上周最先從日本與新加坡發作,目前毒性已散佈至台灣、大陸與歐美各地,據估在國內已有數十多家企業用戶,在全球有數百家企業用戶受此病毒感染,災情還在持續增加中。由於「疾風病毒」多種病毒的交相感染,已經令全球企業IT人員疲於奔命,這是繼2001年娜坦病毒(Nimda)之後,第二支連續發佈兩次紅色警訊的重大病毒[趨勢科技已充分掌握此變種病毒,並呼籲所有用戶除立即下載安裝微軟修正程式外,需盡速更新趨勢病毒碼614,即可偵測此病毒。 WORM_MSBLAST.D為「疾風病毒」的最新變種,除了採用同樣攻擊微軟系統RPC 的漏洞外,還會攻擊WebDAV的新漏洞感染未經修正過的電腦,此病毒攻擊微軟系統135連接埠,並自動開啟中毒電腦707連接埠(原開啟4004連接埠)作為後門程式入侵點,再攻擊並感染其他電腦。所以用戶不僅要針對原WORM_MSBLAST.A病毒下載微軟MS03-026修正程式外,再針對此變種WORM_MSBLAST.D下載微軟MS03-007修正程式,才能有效遏止此病毒的交相感染。此外,受感染的電腦會在c:winntsystem32wins的目錄下發現兩隻病毒程式,並分別以DLLHOST.exe和SVCHOST.exe兩個系統檔名出現。 趨勢科技指出,這隻病毒有兩個很特別的病毒行徑:一、會強迫中毒電腦自動下載並安裝微軟修正程式,並無預警的重新開機。二、會自動搜尋並移除舊病毒的BLAST.exe程式。由此病毒在自動下載微軟程式與移除舊病毒程式的這兩種病毒行徑看來,表面上似乎是為清除反制「疾風病毒」而來,但由於其強迫電腦在未經系統需求確認的情況下載微軟修正程式,對個人而言,造成上網速度變慢,電腦不斷重新開機;對企業用戶而言,由於企業內部上百台電腦同時下載微軟修正程式的結果,造成網路流量暴增擁塞,進而導致網站癱瘓,影響企業運作甚鉅[ 根據趨勢科技分析指出,在歷經上周在各界大力宣導「疾風病毒」的危險性與告知用戶盡速下載微軟修正程式並更新病毒碼後,然而此變種病毒還是對用戶造成鉅大殺傷力的原因如下: 一、許多個人或企業用戶尚未更新微軟修正程式 二、許多已中毒未察覺的電腦用戶,再度與其他變種病毒交相感染 趨勢科技呼籲所有電腦用戶務必要遵循以下方式做好防護措施,以防患未然: 1.請即刻下載並安裝以下兩支微軟修正程式。 Microsoft Bulletin MS03-007(針對WORM_MSBLAST.D) http://www.microsoft.com/technet/sec...n/MS03-007.asp Microsoft Security Bulletin MS03-026(針對WORM_MSBLAST.A至.D) http://www.microsoft.com/taiwan/secu...s/MS03-026.asp 2.企業用戶請立即自動更新病毒碼及TSC(Trend Micro System Cleaner)病毒清除工具,以徹底清除潛藏在電腦內的病毒惡意程式。 3.個人用戶可利用以下兩項工具: A.上趨勢網站使用病毒清除程式 http://www.trendmicro.com/ftp/products/tsc/tsc.zip B.即刻使用趨勢科技線上掃毒HouseCall,以徹底移除病毒程式。 |
所有時間均為台北時間。現在的時間是 17:13。 |
Powered by vBulletin® 版本 3.8.3
版權所有 ©2000 - 2024,Jelsoft Enterprises Ltd.
本網站內之文章,版權歸原作者所有,在此發言並無言論免責權,且與本站立場無關,並禁止未授權轉載。