[吉米丘]

[台灣微軟正式版] -- 網路病毒 W32.Blaster.Worm

針對W32.Blaster.Worm的病毒，已提供安全性修正程式MS03-026於微軟網站上，請企業客戶儘快到http://www.microsoft.com/taiwan/secu...s/ms03-026.asp 下載並且安裝，以避免遭受攻擊。



該安全性修正程式MS03-026已於今年7月17日公佈於微軟公司網站上。若用戶已安裝該修正程式即可免受此次病毒的威脅，請尚未安裝的企業客戶儘快下載並且安裝，以避免遭受攻擊。 台灣微軟公司並於本週 (8/12~8/15) 提供全天候24小時電話支援服務，有需要的用戶可以直撥02-66359111洽詢。或者可於上班時間透過微軟客服專線02-66263366洽詢。更多相關的技術支援訊息請參考網站：http://www.microsoft.com/taiwan/support/。


病毒通知: W32.Blaster.Worm
　

--------------------------------------------------------------------------------
　

1. 病毒通知: W32.Blaster.Worm
2. 如何手動移除W32.Blaster.Worm

　
Q01：病毒通知: W32.Blaster.Worm
A：　
影響產品：

Windows XP, Windows 2000, Windows Server 2003, Windows NT 4.0, NT 4.0 Terminal Services Edition

　

說明：

微軟安全反應中心已經發佈W32.Blaster.Worm的病毒通知。此病毒名稱對於不同的防毒軟體有不同的名稱定義W32/Lovsan.worm (McAfee), WORM_MSBLAST.A (Trendmicro), Win32.Posa.Worm (Computer Associates)，您需要安裝微軟的安全性修正程式MS03-026以避免遭受病毒的攻擊。

　

造成的影響：

透過RPC Port來傳遞，遭受感染的機器會不斷的重新啟動，且在%systemroot%System32 目錄底下您可以發現一個檔案名稱為msblast.exe

　

技術細節：　

此病毒會掃描您網段中的電腦，並透過TCP Port 135傳送病毒本身，如果目的端電腦沒有安裝MS03-026，此病毒將會感染此電腦，並在登錄檔中建立以下登錄值HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill

　

中毒現象：

1. Windows 會無預期的重新開機.

2. 在%systemroot%System32 目錄底下您可以發現一個檔案名稱為msblast.exe

3. 在系統中存在TFTP*的檔案

　

解決方法：
　

遭受病毒感染的解決步驟：

如果您不是Windows XP的用戶：

　

1. 開始, 執行, 輸入 cmd, 確定

2. 請從Windows XP 的電腦拷貝shutdown.exe，執行 shutdown -a ,來停止關機程序

3. 按 CTRL+SHIFT+ESC 後, 在工作管理員裡, 選擇此惡意程式的處理程序, 然後按下"結束處理程序"的按鈕

4. 請更新防毒軟體的病毒碼(如果客戶的系統沒有安裝防毒軟體，請連線到此網址執行線上掃瞄http://housecall.antivirus.com)。

5. 下載修正程式 MS03-026

下載位址：http://www.microsoft.com/technet/tre...n/MS03-026.asp

6. 拔除網路線

7. 掃描您的系統確定沒有病毒存在(您可以下載您防毒軟體廠商所提供的清除工具來刪除病毒)

8. 安裝修正程式

9. 重新啟動電腦

10. 接上網路線



　

如果您是 Windows XP的用戶：

　

1. 開始, 執行, 輸入 cmd, 確定

2. 在 command prompt, 輸入 shutdown -a , 停止關機程序

3. 按 CTRL+SHIFT+ESC 後, 在工作管理員裡, 選擇此惡意程式的處理程序, 然後按下"結束處理程序"的按鈕

4. 請更新防毒軟體的病毒碼(如果客戶的系統沒有安裝防毒軟體，請連線到此網址執行線上掃瞄http://housecall.antivirus.com)。

5.下載修正程式 MS03-026

下載位址：http://www.microsoft.com/technet/tre...n/MS03-026.asp

6. 拔除網路線

7. 掃描您的系統確定沒有病毒存在(您可以下載您防毒軟體廠商所提供的清除工具來刪除病毒)

8. 安裝修正程式

9. 重新啟動電腦

10. 啟動 網際網路連線防火牆 (ICF). 參考文件: http://support.microsoft.com/?id=283673

手動啟動步驟如下:

a. 開啟控制台開啟網路連線

b. 針對您的網路卡按滑鼠右鍵選內容

c. 點選進階標籤，網際網路連線防火牆 (ICF)]， 請選取 [以限制或防止來自網際網路對這台電腦的存取來保護我的電腦] 核取方塊。

11. 接上網路線

　



尚未遭受病毒感染應採取的步驟：

　

為了確保您的系統不會遭受此病毒的攻擊，您需要安裝微軟的安全性修正程式MS03-026

下載位址：http://www.microsoft.com/technet/tre...n/MS03-026.asp

　

更多資訊：

　

您可以參考其他防毒軟體廠商所提供的相關資訊：

Network Associates: http://us.mcafee.com/virusInfo/defau...virus_k=100547

Trend Micro: http://www.trendmicro.com/vinfo/viru...WORM_MSBLAST.A

Symantec: http://securityresponse.symantec.com...ster.worm.html

Computer Associates: http://www3.ca.com/virusinfo/virus.aspx?ID=36265

For more information on Microsoft’s Virus Information Alliance please visit this link: http://www.microsoft.com/technet/security/virus/via.asp

如欲了解更多此病毒的相關資訊，請直接洽詢您的防毒軟體廠商

　
Q02：如何手動移除W32.Blaster.Worm
A:
1. 拔除網路線

2. 關閉惡性程式於記憶體中的處理程序.

a. 開啟Windows工作管理員, 按CTRL+SHIFT+ESC, 點選處理程序標籤.
b. 於正在執行的處理程序清單中, 找到下述執行檔:MSBLAST.EXE
c. 選擇此惡意程式的處理程序, 然後按下"結束處理程序"的按鈕.
d. 為了確認是否已經結束所有惡意程式的處理程序, 關閉工作管理員,然後再次開啟.
e. 關閉工作管理員.

3. 移除登錄編輯程式中自動啟動的機碼

移除登錄編輯程式中自動啟動的機碼可防止惡意程式在開機的時候自動執行.

a. 開啟登錄編輯程式.點選開始>執行, 輸入REGEDIT, 然後按Enter.
b. 在左側視窗中, 滑鼠雙擊下述路徑: HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
c. 在右側視窗中,刪除此機碼: "windows auto update" = MSBLAST.EXE
d. 關閉登錄編輯程式.

4. 移除病毒檔案

a. 開啟檔案總管
b. 在WindowsSystem32的目錄底下找到 Msblast.exe ，按滑鼠右鍵選刪除

5. 下載修正程式: http://www.microsoft.com/taiwan/secu...s/MS03-026.asp

6. 接上網路線