2003年8月11日通发现一种新型的蠕虫病毒,经分析证实该蠕虫病毒是“冲击波”(WORM_MSBlast.A)病毒,目前已在全球迅速传播,由于该病毒利用了7月16日微软公布的RPC漏洞进行传播,而很多系统目前尚没有下载安装该漏洞的补丁程序,所以传播速度相当迅速,波及范围也十分广泛。截止到8月12日15:30我们已经接到北京、天津、辽宁、广东等地多个用户的报警,并且企业用户相对较多,受影响的计算机已超过一万台。
遭受该蠕虫感染后可能出现以下现象,Word、Excel、Powerpoint等文件无法正常运行,弹出找不到链接文件的对话框,一些功能如“粘帖”等无法正常使用,控制面板出现异常、系统文件无法正常显示、Windows界面下的功能无法正常使用、计算机反复重新启动等现象。受到DDOS攻击的网站会因收到的服务请求太多而不能处理正常的请求,它可能消耗大量的带宽。
蠕虫名称:“冲击波”(WORM_MSBlast.A)
蠕虫长度:6,176字节(缩后)11,296字节(未压缩)
受影响的系统:Windows NT/2000/XP
病毒特性:
该蠕虫是利用前不久微软公布的RPC DCOM缓冲溢出漏洞进行传播的互联网蠕虫。它能够使遭受攻击的系统崩溃,并通过互联网迅速向容易受到攻击的系统蔓延。
RPC DCOM缓冲溢出漏洞可以允许一个攻击者在目标机器上获得完全的权限并且可以执行任意的代码。有关该缓冲溢出漏洞的详细信息,请访问
微软网页Microsoft Security Bulletin MS03-026
或应急中心网页www.antivirus-china.org.cn/content/rpc.htm
蠕虫会持续扫描具有漏洞的系统,并向具有漏洞的系统的135端口发送数据。在1月至8月的16日至31日以及九月至十二月的任意一天,蠕虫会发动对windowsupdate.com的DDos攻击。
蠕虫在网络中持续扫描,寻找容易受到攻击的系统,它就会从已经被感染的计算机上下载能够进行自我复制的代码MSBLAST.EXE,蠕虫驻留系统后在注册表中创建以下键值,以达到随系统启动而自动运行的目的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Windows auto update = MSBLAST.EXE之后,蠕虫检查自身是否已常驻内存,如果已经在内存中运行,则停止继续运行,反之蠕虫则继续运行,并检查当前计算机是否有可用的网络连接。如果没有连接,蠕虫每间隔10秒对Internet连接进行检查,直到Internet连接被建立。一旦Internet连接建立,蠕虫会打开被感染的系统上的4444端口,并在端口69进行监听,扫描互联网,尝试连接至其他目标系统的135端口并对它们进行攻击。
蠕虫中可以找到如下字符串:
“Billy Gates why do you make this possible? Stop making money and fix your software”(比尔·盖茨,你为什么要使这种攻击成为可能?不要再挣更多的钱了,好好修正你发行的软件吧。)请用户参考以下操作。
病毒清除的相关操作:
1、终止恶意程序
打开Windows任务管理器Windows 95/98/ME系统按CTRL+ALT+DELETE WindowsNT/2000/XP系统按CTRL+SHIFT+ESC在运行的程序清单中查找进程“MSBLAST.EXE”,终止该进程的运行。
2、删除注册表中的自启动项目
单击开始>运行,输入Regedit,然后按Enter键打开注册表编辑器在左侧面版中依次双击HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run在右边的列表中查找并删除以下项目Windows auto update" = MSBLAST.EXE关闭注册表编辑器
3、登录微软网站,安装RPC漏洞的补丁程序:
Microsoft Security Bulletin MS03-026
4、对135端口、69端口的访问进行过滤,使得只能进行受信任以及内部的站点访问
5、运行杀毒软件,对系统进行全面的病毒扫描和清除
6、重新启动计算机,再次进行病毒扫描,确认病毒是否彻底清除
|
发表于 2003-8-12 12:42
转发
收藏
转播
分享
淘帖
支持
反对
提升卡
关闭主题卡
开启主题卡
发表于 2003-8-12 21:56
祭史上最大免签没效!彭博:赴中国外国游客
针对三大饮品连锁商的集体诉讼来了
世纪超市本周特价
Coach冬季特卖