精华区 [关闭][返回]

当前位置:网易精华区>>讨论区精华>>谈天说地>>● 好主意>>网人与网>>紧急防治W32.Blaster.Worm蠕虫 (转贴)

主题:紧急防治W32.Blaster.Worm蠕虫 (转贴)
发信人: zhycloud(塞北)
整理人: ivan114(2004-01-17 22:22:03), 站内信件

  影响系统: Windows 2000,Windows XP / Windows 2003

更加详细的图文教程请见 http://bbs.cnse8.com/viewthread.php?tid=1769

  CVE参考: CAN-2003-0352 

  McAfee 命名为:W32/Lovsan.worm 

简单描述:

  W32.Blaster.Worm 是一种利用DCOM RPC 漏洞进行传播的蠕虫,传播能力很强。详细描述请参照Microsoft Security Bulletin MS03-026感染蠕虫可能导致系统不稳定,有可能造成系统崩溃 ,它扫描端口号是TCP/135, 传播成功后他会利用tcp/4444和UDP 69端口下载并运行它的代码程序Msblast.exe.这个蠕虫还将对windowsupdate.com进行拒绝服务攻击。这样做的目的是为了不能使您及时地得到这个漏洞的补丁
网络控制方法:

  如果您不需要应用这些端口来进行服务,为了防范这种蠕虫,你应该在防火墙上阻塞TCP port 4444 , 和下面的端口:

  TCP 4444 蠕虫开设的后门端口,用于远程控制
  UDP Port 69, 用于文件下载
  TCP Port 135, 微软:DCOM RPC 
计算机处理办法:

  蠕虫攻击不成功可能导致系统出现了不正常,比如拷贝、粘贴功能不工作,RPC 服务停止;建议你重新启动计算机,立刻打补丁(下载地址见下文);

  如果你的系统被感染了,系统可能出现如下特征:

  1. 被重启动;

  2. 用netstat 可以看到大量tcp 135端口的扫描;

  3. 系统中出现文件: %Windir%\system32\msblast.exe

  4. 系统工作不正常,比如拷贝、粘贴功能不工作,IIS服务启动异常等;
手动删除办法:


  1. 打开任务管理器,停止以下进程 msblast.exe .


2. 检查、并删除文件: %Windir%\system32\msblast.exe

  
3. 进入注册表("开始->运行:regedit)

  找到键值:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

  在右边的栏目, 删除下面键值:

  "windows auto update"="msblast.exe"
4. 给系统打补丁(否则很快被再次感染)



  补丁下载


  CERNET:下载

  Windows 2000补丁 Windows XP 补丁 

http://www.cnse8.com/showsoft.asp?soft_id=237

 更多补丁信息请参见: http://www.microsoft.com/technet/security/bulletin/MS03-026.asp

 其他参考信息


  http://bbs.cnse8.com/viewthread.php?tid=958  

[关闭][返回]