- 帖子
- 8
- 精華
- 0
- 威望
- 0
- 魅力
- 0
- 讚好
- 0
- 性別
- 男
|
5#
發表於 2005-7-4 11:27 PM
| 只看該作者
re: 應該係 W32.Blaster 蠕蟲
別名
W32/Blaster-A, W32/Blaster.A, W32/Msblast.A, WORM_MSBLAST.A, Lovsan, W32/Lovsan.worm, Win32/Poza
內容
W32.Blaster 蠕蟲利用一個已知的漏洞 "微軟 RPC 介面緩衝區超限能允許執行程式碼" (MS03-026 DCOM/RPC 漏洞) 攻擊TCP135埠。有關此漏洞的詳情,請參考本站"微軟 RPC 介面緩衝區超限能允許執行程式碼" (http://www.hkcert.org/salert/english/s030717_win_rpc.html)的有關資料
蠕蟲會嘗試下載一個名叫 "msblast---" 的程式檔案到受感染電腦的%WinDir%\system32 資料夾上並執行,然後不斷掃描互聯網上的機器(機器的IP位址由隨機產生),尋找有漏洞的機器,向其TCP135埠發送特製的攻擊數據去感染它,以求不斷傳播開去。
蠕蟲亦會加入下列注冊鍵,使機器每次啟動時都載入蠕蟲的程式:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
"windows auto update" = msblast---
破壞力
注意: W32.Blaster 蠕蟲只攻擊視窗 NT 4, 視窗 2000 and 視窗 XP 的操作系統
受感染的 視窗XP 機器會不斷重新啟動,不能正常工作;受感染的 視窗NT4 和 視窗2000 機器也變得工作緩慢
遙距攻擊者有可能取得本機系統的權限,執行任意的程式
從2003年8月16日起,受感染的機器會共同對微軟WindowsUpdate.com發出分散式阻斷攻擊
解決方案
--------------------------------------------------------------------------------
對付W32.Blaster蠕蟲的基本步驟
注意: 以下步驟必須以擁有系統管員權限的帳戶執行,及必須全部順序執行
1. 停止 視窗XP 機器不斷重新啟動 (視窗2000 及視窗NT 可略去此步驟)
視窗 XP 感染了W32.Blaster蠕蟲後,若連線就會不斷重新啟動。所以,要在離線時先改變視窗XP 設定,停止機器不斷重新啟動,然後才安裝修補程式、掃描和清除蠕蟲等,最後,就是還原 視窗XP 設定。
先不要連接互聯網。(如使用寬頻上網,請關閉寬頻上網器的電源)
在 視窗XP 工作列,按 "開始" → 執行 → 開啟了執行視窗 → 在"開啟"中輸入 services.msc → 按 "確定"
服務視窗出現,請找出"Remote Procedure Call (RPC)" → 雙按 "Remote Procedure Call (RPC)"
"Remote Procedure Call (RPC) 內容" 視窗出現→ 選擇 "修復" → 將第一次失敗時, 第二次失敗時和後續失敗時設為 "不執行動作" → 按 "確定"
重新連接互聯網。(如使用寬頻上網,請開啟寬頻上網器的電源)
2. 下載及安裝微軟 RPC 漏洞的修補程式
注意:
最好在一部不受影響的系統 (視窗98、視窗ME) 或已修補好的系統下載修補程式,再經軟碟及光碟抄錄到受感染電腦上,這樣較為安全。
緊記選擇下面一個正確的視窗平台及語言去下載修補程式
視窗 NT 4.0 (英文):
http://download.microsoft.com/do ... 8d29e1a/Q823980i---
視窗 NT 4.0 (繁體中文):
http://download.microsoft.com/do ... 7ef1/CHTQ823980i---
視窗 NT 4.0 Terminal Server (英文):
http://download.microsoft.com/do ... 188d489/Q823980i---
視窗 2000 (英文):
http://download.microsoft.com/do ... KB823980-x86-ENU---
視窗 2000 (繁體中文):
http://download.microsoft.com/do ... KB823980-x86-CHT---
視窗 XP Home and 視窗 Professional 版本 (英文):
http://download.microsoft.com/do ... KB823980-x86-ENU---
視窗 XP Home and 視窗 Professional 版本 (繁體中文):
http://download.microsoft.com/do ... KB823980-x86-CHT---
其他視窗平台:
http://www.microsoft.com/technet/security/bulletin/MS03-026.asp
下載完成後,會開始安裝這修補程式,只選要按“下一步”直至“完成”。電腦會重新啟動。
3. 掃描和清除蠕蟲
重新啟動之後,請預備一個 Symantec 的蠕蟲清除程式到桌面,留待稍後使用
蠕蟲清除程式可到下面的網址下載: http://securityresponse.symantec.com/avcenter/FixBlast---
注意:
最好在一部不受影響的系統 (視窗98、視窗ME) 或已修補好的系統下載蠕蟲清除程式,再經軟碟及光碟抄錄到受感染電腦上,這樣較為安全。
下載時,選 “儲存檔案” → 儲存至 “桌面” → 按 “儲存”
視窗XP 機器在執行蠕蟲清除程式前,先按下列步驟關閉"系統還原": (視窗2000 及視窗NT 可略去此步驟)
按 “開始” → 對著 “我的電腦” 按滑鼠右鍵 → 選 “內容”
“系統視窗”會出現 → 選 “系統還原” → 選 “關閉系統還原” → 選 “確定” → 選 “是”
重新啟動電腦 → 在開機時不停地按 “F8” 直至出現選舉列表 → 選 “安全模式”
(註: 在安全模式下運行蠕蟲清除程式,保證蠕蟲檔案不會因被系統佔用而無法清除)
進入 “安全模式” 後 → 執行桌面上的 “FixBlast---”蠕蟲清除程式
按 “Start” → 直至完成
重新啟動電腦回"正常模式"
4. 還原 視窗XP 設定(視窗2000 及視窗NT 可略去此步驟)
按"開始" → 執行 → 開啟了執行視窗 → 在開啟中輸入 "services.msc" → 按 "確定"
會出現服務視窗,請找出 "Remote Procedure Call (RPC)" → 雙按 "Remote Procedure Call (RPC)"
會出現"Remote Procedure Call (RPC) 內容" → 選擇 "修復" → 將第一次失敗時, 第二次失敗時和後續失敗時設為 "重新啟動電腦" → 按 "確定"
按 "開始" → 對著 "我的電腦" 按滑鼠右鍵 → 選 "內容"
會出現 "系統視窗" → 選 "系統還原" → 選 "關閉系統還原" → 選 "確定" → 選 "是"
重新啟動電腦
至此,受感到染電腦應已修復。同時,因為修補程式已堵塞RPC漏洞,就算有針對同一RPC漏洞的W32.Blaster新變種蠕蟲,機器也是防疫的了。
不過,下面的選擇性建議,可以進一步改善你的防禦工事。
--------------------------------------------------------------------------------
對付W32.Blaster蠕蟲的選擇性建議步驟
5. 設定防火牆過濾網絡交通
若公司安裝有防火牆或帶有防火牆功能的寬頻路由器,可設定為阻塞從互聯網進入存取 RPC 服務的交通,確保內部網絡上所有機器的安全,有效地減低公司的風險。需要在防火牆禁止的服務包括:
TCP/UDP 135
TCP/UDP 139
TCP/UDP 445
此外,蠕蟲會使用到下面 2 個連接埠,都必須阻塞
UDP 69
TCP 4444
如果不能禁止所有外來主機的存取,我們建議限制只允許日常操作所需的主機進行存取。根據良好的習慣,除日常操作需要的網絡交通以外,其他的網絡交通都應過濾。
家庭或個人電腦,也可使用帶有防火牆功能的寬頻路由器或個人防火牆軟件,達到以上目的。
-------------------------------------------------------------------------------- |
|