|
我2000的系统挂了,现在在用98的系统上网!赶快来给各位提个醒!
病毒名称:Worm.MSBlaster.6176
(还有其他变异体,名字相近)
病毒类型:蠕虫
病毒长度:6176
危害级别:中
传播速度:高
技术特征:
该病毒利用RPC漏洞进行快速传播。病毒程序才用UPX压缩,仅有6K。较小的体积是能让其在网络上快速传播的重要原因之一。
病毒行为:
1、创建一个名为"BILLY"的互斥体,如果该进程已经存在,则退出。
2、添加如下注册表键值:"windows auto update"="msblast.exe"在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下,以使蠕虫可以开机自动运行。
3、计算IP地址:
a. 第三段是小于20的随机数,第四段从0—255 (40%的几率)
b. 随机产生前三段,第四段为0。 (60%的几率)
4、发送数据到被攻击的计算机的TCP 135端口(DCOM RPC漏洞),在被攻击计算机创建一个隐藏的CMD.exe Shell, 使其监听 TCP 4444端口,发送的数据不对可能会导致受攻击的计算机崩溃。
5、监听 UDP 69端口,当有服务请求,就发送Msblast.exe文件。
6、发送命令到远端计算机(被攻击计算机), 以使其连接被感染计算机(本地计算机)下载并运行Msblast.exe。
7、如果当前月份大于8月,或当前日期大于15号,对"Windowsupdate.com"实施DoS攻击。
8、该蠕虫包含有如下不会被显示的字符串:
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!
目前我所知道有两个专杀工具!
一个是金山的专杀工具!下面是下载的连接
http://www.duba.net/download/3/91.shtml
一个是诺顿的专杀工具!下面是下载的连接
http://bbs.kingsoft.net/index.php?s=1527b0...=0#entry2693547
具体解决方法如下!
病毒解决办法
问题:winXP不断报“RPC意外中止,系统重新启动”,win2000报svchost.exe出错
该问题是目前出现的win32.blaster.worm病毒针对微软的RPC漏洞进行攻击,在8月11日全球首次发现,symantec已更新病毒库可以查杀该病毒。
故障原因:w32.blaster.worm病毒专门攻击Win xp、Win 2000、Win NT和Win 2003的RPC安全漏洞。
故障现象:操作系统不断报“PRC意外中止,系统重新启动”,客户机频繁重启,所有网络服务均出现故障,如IE浏览器打不开,OUTLOOK无法使用等。
解决方法:
1、先在任务管理器中将 msblast.exe 进程杀掉,之后将windows安装目录下的system32文件夹下的msblast.exe 删除(有可能无法删除,则直接执行第2步)。
2、在“控制面板”中的“管理工具”下的“服务”,选中Remote Procedure Call(RPC)服务,把“恢复”选项卡中的第n次失败都选为“不操作”(XP下默认为重启计算机)。
3、下载本页下面的RPC漏洞补丁,断开网络,重启机器后安装微软补丁。该补丁需要win2000 ServicePack2以上版本,请到下面网址下载:
http://www.microsoft.com/china/windows2000/sp2.htm
微软的操作系统RPC漏洞补丁:
中文2000补丁
http://218.29.0.250/Windows2000-KB823980-x86-CHS.exe
中文XP补丁
http://218.29.0.250/WindowsXP-KB823980-x86-CHS.exe
中文2003补丁
http://218.29.0.250/WindowsServer2003-KB82...980-x86-CHS.exe
4、安装norton杀毒软件,升级norton最新的8月11日病毒库进行杀毒。
注意:可能个别盗版win XP系统不能正常打上补丁,win2000操作系统必须升级SP2以上版本才可安装补丁
使用norton的用户请从下面下载最新的病毒库:
norton最新病毒库
http://218.29.0.250/20030811-019-i32.exe
微软网站关于该问题的说明
http://www.microsoft.com/china/technet/sec...in/MS03-026.asp
中国病毒响应中心关于RPC的说明
详细描述:
Remote Procedure Call(RPC)是Windows操作系统使用的一种远程过程调用协议,RPC协议
提供一种进程间的交互通信机制,它允许本地机器上的程序进程无缝的在远程系统中运行
代码。该协议的前身是OSF RPC协议,但是增加了微软自己的一些扩展。
最近发现部分RPC在使用TCP/IP协议处理信息交换时不正确的处理畸形的消息导致存在一个
安全漏洞。该漏洞影响使用RPC的DCOM接口,这个接口用来处理由客户端机器发送给服务器
的DCOM对象激活请求(如UNC路径)。如果攻击者成功利用了该漏洞将获得本地系统权限,他
将可以在系统上运行任意命令,如安装程序、查看或更改、删除数据或者是建立系统管理员
权限的帐户等。
要利用这个漏洞,攻击者需要发送特殊形式的请求到远程机器上的135端口.
影响系统:
Microsoft Windows NT 4.0
Microsoft Windows NT 4.0 Terminal Services Edition
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server? 2003
风险:高
危害描述:
远程进入系统执行任意代码
symantec公司关于病毒的说明
w32.blaster.worm病毒http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html
|
|