【警告】NT-BASE 病毒(Windows XP,2000,NT)



贊助商連結


ggyy
2003-08-12, 06:22 PM
目前已經有 DCOM RPC 的漏洞被不肖分子所利用, 撰寫出分散式攻擊的程式,

被攻擊的電腦將常駐一個軟體, 不但開啟後門並且自動持續攻擊其他台電腦!!

目前 Symantec 公司已經將其命名為 W32.Blaster.Worm,美國的網站資料已經

更新,但台灣的網站還沒有。

網址在:
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html

該蠕蟲作者有計畫地將中毒的電腦於 8/15 開始,持續攻擊 windowsupdate.com 網站。
已經確定全系列的 NT-Based 系統皆受影響.
Windows 2000 從 SP0, SP1, SP2, SP3, SP4 全部受影響.
Windows XP 從 SP0, SP1 全部受影響.
Microsoft Windows NTR 4.0
Microsoft Windows NT 4.0 Terminal Services Edition
Microsoft Windows Server? 2003

電腦的作業系統是winxp
最近一開機後,不久便出現generic host process for win 32 service
有問題的警示視窗,不久後又出現remote procedure call (RPC)失效,
然後電腦便自動關機。但是如果拔掉網路線,便不會有這個情況,
1.開始->執行->輸入shutdown.exe -a 把倒數計時關掉
##怎樣確定自己的電腦已經中毒 ?
* 如果你的電腦動不動就跟你說要重新開機 (60 秒)
* 或是:
[開始]->執行->Taskmgr.exe [ENTER] 後, 看一下有沒有 MSBLAST.EXE 這個
程式正在運作, 如果有, 也表示你已經中毒!
!! 中毒解毒程序: (目前就我知道的來解)
0 . 開始->執行->CMD.EXE [ENTER] (開啟Command line 視窗)
若系統跟你說要重新開機了, 請輸入shutdown -a [enter] 取消重新開機指令.
1 . 刪除 MSBLAST.EXE 這個 Process (直接在上面按右鍵, 選結束處理程序即可)
2 . 到http://w3.cis92.net/rpc/xp/WindowsXP-KB823980-x86-CHT.exe
DCOM RPC 的漏洞 Patch, 先存到硬碟去.
網友已經 Mirror 一份到 http://w3.cis92.net/rpc/ 下面. (在交大裡面)
3 . 拔掉網路線
4 . 用檔案總管, 到 Windows\System32 這個目錄下面找到 MSBLAST.EXE,
按右鍵選內容將唯讀取消掉, 然後把這個程式幹掉.
5 . 開始->執行->regedit.exe , 並且到:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下面
按右鍵選內容將唯讀取消掉, 然後把這個程式幹掉.
6 . 執行你剛剛所抓下來的 Patch
7 . 重新開機
8 . 接上網路線, 大功告成.