收藏本站腾讯微博新浪微博

经典论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

蓝色理想 最新研发动态 网站开通淘帖功能 - 蓝色理想插件 论坛内容导读一页看论坛 - 给官方提建议

论坛活动及任务 地图和邮件任务 请多用悬赏提问 热夏来袭,选一款蓝色理想的个性T恤吧!

手机上论坛,使用APP获得更好体验 急需前端攻城狮,获得内部推荐机会 论坛开通淘帖功能,收藏终于可以分类了!

搜索
查看: 1059|回复: 1

CCERT关于W32.Blaster.Worm蠕虫的公告

[复制链接]
发表于 2003-8-13 01:21:00 | 显示全部楼层 |阅读模式
CCERT关于W32.Blaster.Worm蠕虫的公告(草案)

                   CCERT公告编号:2003-016



  影响系统: Windows 2000,Windows XP / Windows 2003

  CVE参考: CAN-2003-0352

  McAfee 命名为:W32/Lovsan.worm

简单描述:

  W32.Blaster.Worm 是一种利用DCOM RPC 漏洞进行传播的蠕虫,传播能力很强。详细描述请参照Microsoft Security Bulletin MS03-026感染蠕虫可能导致系统不稳定,有可能造成系统崩溃 ,它扫描端口号是TCP/135, 传播成功后他会利用tcp/4444和UDP 69端口下载并运行它的代码程序Msblast.exe.这个蠕虫还将对windowsupdate.com进行拒绝服务攻击。这样做的目的是为了不能使您及时地得到这个漏洞的补丁

  CCERT正在分析蠕虫的传播机理。

  网络控制方法:

  如果您不需要应用这些端口来进行服务,为了防范这种蠕虫,你应该在防火墙上阻塞TCP port 4444 , 和下面的端口:

  TCP 4444 蠕虫开设的后门端口,用于远程控制

  UDP Port 69, 用于文件下载

  TCP Port 135, 微软:DCOM RPC

  计算机处理办法:

  蠕虫攻击不成功可能导致系统出现了不正常,比如拷贝、粘贴功能不工作,RPC 服务停止;建议你重新启动计算机,立刻打补丁(下载地址见下文);

  如果你的系统被感染了,系统可能出现如下特征:

  1. 被重启动;

  2. 用netstat 可以看到大量tcp 135端口的扫描;

  3. 系统中出现文件: %Windir%\system32\msblast.exe

  4. 系统工作不正常,比如拷贝、粘贴功能不工作,IIS服务启动异常等;

  手动删除办法:

  1. 检查、并删除文件: %Windir%\system32\msblast.exe

  2. 打开任务管理器,停止以下进程 msblast.exe .

  3. 进入注册表(“开始->运行:regedit)

  找到键值:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

  在右边的栏目, 删除下面键值:

  "windows auto update"="msblast.exe"

  4. 给系统打补丁(否则很快被再次感染)

  补丁下载

  CERNET:下载

  Windows 2000补丁   Windows XP 补丁

  更多补丁信息请参见: http://www.microsoft.com/technet/security/bulletin/MS03-026.asp

  请关注CCERT主页和邮件列表:

  http://www.ccert.edu.cn

  advisory@ccert.edu.cn

  其他参考信息

  1、http://www.securityfocus.com/news/6689

2、http://www.microsoft.com/technet ... lletin/MS03-026.asp

  3、http://www.securityfocus.com/columnists/174

  4、http://isc.sans.org/diary.html?date=2003-08-11.

   中国教育和科研计算机网紧急响应组(CCERT)   
发表于 2003-8-13 02:19:00 | 显示全部楼层
为什么偶装了补丁又中招啦……
在注册表还发现一键值:在Explorer Bars-FilenamedMRU里有000也有MSBlast.exe
还有内存里也有,系统目录里有七八个.dl之类的文件
还是用http://download.rising.com.cn/zsgj/ravzerg.exe
这个比较好,可以杀干净……

回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|小黑屋|Archiver|手机版|blueidea.com ( 湘ICP备12001430号 )  

GMT+8, 2020-9-21 04:05 , Processed in 0.093750 second(s), 8 queries , Gzip On, Memcache On.

Powered by Discuz! X3.2 Licensed

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表