MSBLAST蠕虫紧急公告！

AK47

分析：<br><br>这是一个利用RPC DCOM缓冲溢出漏洞的蠕虫。此缓冲溢出漏洞可以允许一个攻击者在目标机器上获得完全的权限并且可以执行任意的代码。 <br><br>此蠕虫会持续扫描具有漏洞的系统，并向具有漏洞的系统的135端口发送数据。在以下的系统日期，该蠕虫会发动对windowsupdate.com的DDos攻击: <br><br>以下月份的16日至31日: <br>一月，二月，三月，四月，五月，六月，七月，八月或是九月至十二月的任意一天 <br><br>RPC DCOM缓冲溢出漏洞的详细信息, 请访问以下微软网页： <br><br><a href='http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp' target='_blank'>http://www.microsoft.com/technet/treeview/...in/MS03-026.asp</a><br><br>该蠕虫大小为6176字节。用LCC-Win32 v1.03编译，upx 1.22压缩，创建时间是2003年8月11日7点21分。<br><br>蠕虫感染系统后首先检测是否有名为&quot;BILLY&quot;的互斥体存在，如果检测到该互斥体，蠕虫就会退出，如果没有，就创建一个。<br><br>然后蠕虫会在注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun中添加以下键值：<br><br>&quot;windows auto update&quot;=&quot;msblast.exe&quot;<br><br>以保证每次用户登录的时候蠕虫都会自动运行。<br><br>蠕虫还会在本地的UDP/69端口上建立一个tftp服务器，用来向其他受侵害的系统上传送蠕虫的二进制程序msblast.exe。<br><br>蠕虫选择目标IP地址的时候会首先选择受感染系统所在子网的IP，然后再按照一定算法随机在互连网上选择目标攻击。<br><br>一旦连接建立，蠕虫会向目标的TCP/135端口发送攻击数据。如果攻击成功，会监听目标系统的TCP/4444端口作为后门，并绑定cmd.exe。然后蠕虫会连接到这个端口，发送tftp命令，回连到发起进攻的主机，将msblast.exe传到目标系统上，然后运行它。<br>蠕虫所带的攻击代码来自一个公开发布的攻击代码，当攻击失败时，可能造成没有打补丁的Windows系统RPC服务崩溃，Windows XP系统可能会自动重启。该蠕虫不能成功侵入Windows 2003，但是可以造成Windows 2003系统的RPC服务崩溃，默认情况下，这将使系统重启。<br><br>蠕虫检测到当前系统月份是8月之后或者日期是15日之后，就会向微软的更新站点&quot;windowsupdate.com&quot;发动拒绝服务攻击。也就是说，从2003年8月16日开始就会一直进行拒绝服务攻击。<br><br>蠕虫代码中还包含以下文本数据：<br><br>I just want to say LOVE YOU SAN&#33;&#33;<br>billy gates why do you make this possible ? Stop making money and fix your software&#33;&#33;<br><br>解决方法：<br><br>* 检测是否被蠕虫感染：<br><br>   1、检查系统的%systemroot%system32目录下是否存在msblast.exe文件。<br>   2、检查注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun<br>      [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]<br>      &quot;windows auto update&quot;=&quot;msblast.exe&quot;<br>   3、在任务管理器中查看是否有msblast.exe的进程。如果有，说明蠕虫正在您的系统上运行。<br><br>* 预防蠕虫感染：<br><br>   安装MS03-026（http://www.microsoft.com/technet/security/bulletin/MS03-026.asp）的安全更新。<span style='color:red'>（注意选择相应的操作系统和语言！）</span><br><br>   安装补丁后您需要重新启动系统才能使补丁生效，如有可能，请在下载完补丁后断开网络连接再安装补丁。<br><br>* 清除蠕虫<br><br>   如果发现系统已经被蠕虫感染，可以按照以下步骤手工清除蠕虫：<br><br>   1、按照上述“预防蠕虫感染”的方法安装补丁。<br>   2、点击左下角的“开始”菜单，选择“运行”，在其中键入“taskmgr”，点击“确定”。(或者按CTRL+ALT+DELETE)这样就启动了任务管理器。在其中查找msblast.exe进程，找到后在进程上单击右键，选择“结束进程”，点击“是”。<br>   3、删除系统目录下的msblast.exe<br>   4、点击左下角的“开始”菜单，选择“运行”，在其中键入“regedit”，点击“确定”。这样就启动注册表编辑器。在注册表中找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun，删除其下的&quot;windows auto update&quot;=&quot;msblast.exe&quot;。<br>   5、重新启动系统。<br><br>   也可以用一些杀毒软件厂商提供的软件，如：<br>   <br>   诺顿的FixBlast<br>   McAfee的stinger<br>   <br>   截至目前为止，一些杀毒软件厂商的病毒特征库已包含该蠕虫的特征，可以清除该蠕虫，请更新您杀毒软件的病毒特征库进行查杀。<br><br><span style='color:red'>附加 Windows ME/XP 清除指示</span> <br><br>对于Windows XP和Windows ME的用户首先要禁用系统还原。<br><br><a href='http://www.symantec.com/techsupp/kbdocs/tsgeninfo.nsf/2001111912274039.html' target='_blank'><span style='color:blue'>如何禁用或启用Windows XP系统还原</span></a><br><br><a href='http://www.symantec.com/techsupp/kbdocs/tsgeninfo.nsf/2001012513122239.html' target='_blank'><span style='color:blue'>如何禁用或启用Windows Me系统还原</span></a>

root

嘿嘿嘿<br><br>这个病毒名字叫&quot;冲击波&quot;,是&quot;流言&quot;的下一代,<br><br>病毒发作特征就是提示Generic Host Process for Win32 Services<br>                   RPC错误,然后系统倒计时60秒关机重起,<br><br>我的机器从10号晚,防火墙截获了一个名为APP的非法连接请求,被我禁止了,谁知道那时候已经感染了,<br>起初还好,几个小时关一次机,到昨天晚上,也就是12号晚,简直是每过10分钟系统就自动提示关机,我都快疯了&#33;起初以为是软件冲突,狂删一批软件,又用优化大师优化系统,加兔子又加注册表医生,都没用,该起照起,为此我还骂了我女朋友,我女朋友不让我上网,说都是上网的事,我不信,又改系统设置,禁止系统自动重起,禁止发送错误消息....都没用,忙了一晚上,流了一头汗,机器重起了二三十次,哈哈,后来没辙了,只能感叹这个黑客真厉害&#33;<br><br>这个病毒主要针对中国用户大多数使用D版WINDOWS而设,也就是说大多数人无法通过微软自动升级取得升级补丁,我上网查了一下,微软已与7月21日发布了这个漏洞通知,然而只过了大半个月就有人利用这个漏洞设计除了这个病毒,真佩服现在的某些人.<br><br>我个人的解决方法,<br>1,先查看系统进程,停止一个名为MsBlast的进程,或者查看系统system32里是不是多了一个名为MsBlast.exe或者如上文提到的查看注册表,<br><br>2,到微软下载补丁,地址如上,不过小心,D版可能要求重新激活,系统被锁<br><br>3,比较简单一点就是,安防火墙,禁止135,4444,65端口,<br>然后到这个地址下载金山专杀工具http://gz3.duba.net/kpub/source/down.php?s=gz&t=http&id=108<br><br>有杀毒软件的朋友就赶快升级病毒库了&#33;<br><br><br> <!--emo&:ph34r:--><img src='https://www.kaiyuan.info/modules/ipboard/html/emoticons/ph34r.gif' border='0' style='vertical-align:middle' alt='ph34r.gif'><!--endemo--> <br><br><br><br>

  <!--emo&:ph34r:--><img src='https://www.kaiyuan.info/modules/ipboard/html/emoticons/ph34r.gif' border='0' style='vertical-align:middle' alt='ph34r.gif'><!--endemo-->  

gm_jwl

呵呵，我的宿舍里贴了关于这个蠕虫病毒的通知，好像已经有一些机器被感染了，看来我的机器也不能幸免的了。

我的机器一个多小时前出现了这个RPC错误,并自动重起了.<br>但这3个我都没有&#33;&#33;<br><!--QuoteBegin--></span><table border='0' align='center' width='95%' cellpadding='3' cellspacing='1'><tr><td><b>QUOTE</b> </td></tr><tr><td id='QUOTE'><!--QuoteEBegin--><br>1、系统的system32目录下msblast.exe<br>2、注册表&quot;windows auto update&quot;=&quot;msblast.exe&quot;<br>3、任务管理器中msblast.exe的进程<br><!--QuoteEnd--></td></tr></table><span class='postcolor'><!--QuoteEEnd--><br>到目前为止似乎一切正常.我也装了微软的补丁,用瑞星最新的Ravzerg也没找到病毒.<br><br>究竟有没有中毒? <!--emo&:unsure:--><img src='https://www.kaiyuan.info/modules/ipboard/html/emoticons/unsure.gif' border='0' style='vertical-align:middle' alt='unsure.gif'><!--endemo--> <br>

AK47

楼上的，你的这种情况别人也出现过，最好用McAfee的stinger再查一遍，或者在线查毒。

root

他有可能中的是较早的版本，名为SdBotRPC<br>病毒还处在隐藏期，表现不是很明显，如果变种成了MsBlast<br>那就等着看开关机的闹剧吧<br><br><br> <!--emo&:ph34r:--><img src='https://www.kaiyuan.info/modules/ipboard/html/emoticons/ph34r.gif' border='0' style='vertical-align:middle' alt='ph34r.gif'><!--endemo--> <br><br><br>

  <!--emo&--><img src='https://www.kaiyuan.info/modules/ipboard/html/emoticons/sad.gif' border='0' style='vertical-align:middle' alt='sad.gif'><!--endemo--> 别吓唬我啊～～～我连杀毒软件都没装啊！我的机器一个多小时前突然重起了，难道我的电脑也被感染了????

  <!--emo&--><img src='https://www.kaiyuan.info/modules/ipboard/html/emoticons/sad.gif' border='0' style='vertical-align:middle' alt='sad.gif'><!--endemo--> 那位大侠告诉我个能免费下载杀毒软件的网址吧。多谢～～

AK47

<!--QuoteBegin--></span><table border='0' align='center' width='95%' cellpadding='3' cellspacing='1'><tr><td><b>QUOTE</b> </td></tr><tr><td id='QUOTE'><!--QuoteEBegin-->那位大侠告诉我个能免费下载杀毒软件的网址吧<!--QuoteEnd--></td></tr></table><span class='postcolor'><!--QuoteEEnd--><br>google里找一找，有很多，或者到http://housecall.trendmicro.com/在线杀毒，要不就从开元的FTP里下载Norton AntiVirus 2003德文版。