【 教學】電腦一直自動重新關機解決方法 (疾風病毒 - WORM_MSBLASR.A的新型駭客病毒)

[可愛滴小玉]

第一篇發言內容因為 URL 連結錯誤被站長修改了 , 變成整理此病毒資料以幫助網友 , 希望原作者可以諒解

========================================================================

繁體中文 Windows 各版本針對更新 "疾風病毒 - WORM_MSBLASR.A" 更新程式下載:

Windows NT 4.0 Server ：
http://microsoft.com/downloads/detai...playlang=zh-tw

Windows 2000：
http://microsoft.com/downloads/detai...playlang=zh-tw

Windows XP 32 bit Edition ：
http://microsoft.com/downloads/detai...playlang=zh-tw

Windows Server 2003 32 bit Edition：
http://microsoft.com/downloads/detai...playlang=zh-tw

相關信息
MS03-026：RPC 介面中的緩衝區滿溢可能會允許執行程式碼
http://support.microsoft.com/default...b;zh-tw;823980

========================================================================

資料來源 :
http://tw.news.yahoo.com/2003/08/12/...a/4167867.html

中央社記者韋樞台北十二日電）防毒軟體廠商趨勢科技今天發佈中度風險病毒警訊，一隻名為「疾風病毒」─WORM_MSBLASR.A的新型駭客病毒，正透過微軟Windows 系統的漏洞，橫掃攻擊全球各地電腦用戶。趨勢科技呼籲使用者即刻更新掃瞄引擎至5.6以上和病毒碼至604( 含)以上，並立即下載清除程式以偵測及清除此病毒。

　　趨勢科技表示，目前已知在美洲、南美洲、歐洲與台灣均有災情陸續傳出，並且造成某些伺服器停擺及企業Intranet網路壅塞無法使用。而由年初 Slammer病毒發作時對全球電腦用戶所造成的嚴重災情，當時政府下令全面戒備為藍色警戒的情況來看，此病毒將有嚴重的災情發生，趨勢科技呼籲用戶千萬不可掉以輕心。

趨勢科技指出，此次「疾風病毒」傳染途徑和年初爆發的「 SQL警戒病毒」相似，同樣是採取分散式阻斷服務 (DDOS)攻擊感染微軟Windows NT4.0以上的電腦。受病毒感染的電腦會利用 Windows系統漏洞採取阻斷服務攻擊 135連接埠中RPC (remote Procedure Call )Buffer Overrun的弱點，造成電腦無法正常作業或當機停擺及網路壅塞，同時再透過69與4444連結埠去攻擊感染更多的電腦。

　　此外，這個病毒有特定攻擊時間，在一至八月的十六日至三十一日，以及九到十二月每天都會針對Windows Update Server發動攻擊。根據先前同類病毒發作經驗，當這隻病毒透過網路四處流竄時，不但會攻擊其他更多的電腦，也會大量消耗網路資源，降低效能，對企業電腦用戶會造成極大的影響。值得注意的是，由於距離微軟所公佈的最新修正程式不到一個月，所以許多電腦用戶尚未完成更新程序，因此可能會有更多的災情陸續傳出。而由年初 Slammer病毒發作時對全球電腦用戶所造成的嚴重災情，趨勢科技呼籲用戶千萬不可掉以輕心，務必至微軟網站下載最新的病毒碼，或下載趨勢科技最新清除程式，以偵測及清除此病毒。

========================================================================

因應網路病毒「W32.Blaster.Worm」，微軟提出快速解決方案

資料來源:
https://www.microsoft.com/taiwan/press/2003/0812.htm

用戶可以立即上網下載修正程式，或直撥技術支援專線 02-66359111 洽詢
　 　
(2003 年 8 月 12 日，台北) 台灣微軟公司今 (十二) 日宣布，針對 W32.Blaster.Worm 的病毒，已提供安全性修正程式 MS03-026 於微軟網站上，請客戶儘快到下列網址下載並且安裝，以避免遭受攻擊。


http://www.microsoft.com/taiwan/secu...s/ms03-026.asp


台灣微軟公司表示，該安全性修正程式 MS03-026 已於今年 7 月 17 日公佈於微軟公司網站上，並且主動通知客戶下載，若用戶已安裝該修正程式即可免受此次病毒的威脅，請尚未安裝的客戶儘快下載並且安裝，以避免遭受攻擊。

由於有部分企業尚未即時安裝安全性修正程式 MS03-026，導致遭受病毒影響，台灣微軟公司深表遺憾，目前已主動通知企業用戶及技術支援合約客戶，提醒他們重視此一病毒可能造成的影響與解決方案。台灣微軟公司並於本週 (8/12~8/15) 提供全天候 24 小時電話支援服務，有需要的用戶可以直撥 02-66359111 洽詢。或者可於上班時間透過微軟客服專線 02-66263366 洽詢。

更多相關的技術支援訊息請參考網站：http://www.microsoft.com/taiwan/support/

================================================================

在 bbs 上看到的此病毒資訊及解決方式

資料來源 : Deer.twbbs.org
-------------------------------------------------------

發信人: [email protected] (Hook Club INC.), 看板: virus
標 題: [轉錄][解除病毒] 重要!! 請大家盡快裝 Patch !! (新版)
發信站: 小鹿鹿 BBS (Tue Aug 12 09:50:01 2003)
轉信站: NCKU!ccnews.ncku!news.ccns.ncku!news.civil.ncku!netnews.csie.nctu!ctu-

※ 本文轉錄自 [nctu.talk] 看板

作者: chunhan (Hook Club INC.) 看板: nctu.talk
標題: [解除病毒] 重要!! 請大家盡快裝 Patch !! (新版)
時間: Tue Aug 12 09:09:34 2003

目前已經有 DCOM RPC 的漏洞被不肖分子所利用, 撰寫出分散式攻擊的程式,

被攻擊的電腦將常駐一個軟體, 不但開啟後門並且自動持續攻擊其他台電腦!!

目前 Symantec 公司已經將其命名為 W32.Blaster.Worm，美國的網站資料已經

更新，但台灣的網站還沒有。

網址在:
http://securityresponse.symantec.com...ster.worm.html

該蠕蟲作者有計畫地將中毒的電腦於 8/15 開始，持續攻擊 windowsupdate.com 網站。

已經確定全系列的 NT-Based 系統皆受影響.

Windows 2000 從 SP0, SP1, SP2, SP3, SP4 全部受影響.
Windows XP 從 SP0, SP1 全部受影響.
Microsoft Windows NTR 4.0
Microsoft Windows NT 4.0 Terminal Services Edition
Microsoft Windows Server? 2003

========================================================================

!! 怎樣確定自己的電腦已經中毒 ?

* 如果你的電腦動不動就跟你說要重新開機 (60 秒)

* 或是:

[開始]->執行->Taskmgr.exe [ENTER] 後, 看一下有沒有 MSBLAST.EXE 這個

程式正在運作, 如果有, 也表示你已經中毒!

========================================================================

!! 中毒解毒程序: (確定這樣的解法沒有問題)

0 . 開始->執行->CMD.EXE [ENTER] (開啟Command line 視窗)

若系統跟你說要重新開機了, 請輸入shutdown -a [enter] 取消重新開機指令.

1 . 刪除 MSBLAST.EXE 這個 Process (直接在上面按右鍵, 選結束處理程序即可)

2 . 到微軟官方網站抓 DCOM RPC 的漏洞 Patch, 先存到硬碟去.

微軟官方網站:
http://www.microsoft.com/technet/sec...n/MS03-026.asp

我已經 Mirror 一份到 http://w3.cis92.net/rpc/ 下面.
(在交大裡面, 只有 W2K 和 XP)

w2k 裡面的 CHT 表示中文版本, EN 表示英文版本

xp 也是一樣的.

3 . 拔掉網路線

4 . 用檔案總管, 到 Windows\System32 這個目錄下面找到 MSBLAST.EXE,

按右鍵選內容將唯讀取消掉, 然後把這個程式幹掉.

5 . 開始->執行->regedit.exe , 並且到:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下面

將右邊的 "windows auto update" 這個鍵值直接砍掉, 砍掉後關閉登陸編輯程式.

6 . 執行你剛剛所抓下來的 Patch

7 . 重新開機

8 . 接上網路線, 大功告成.

有問題請直說沒有關係

ps. 別忘了，若您的電腦沒有中毒，也請盡快灌 Patch

by Chen Chun-han @ CIS92.
--
※ Origin: 邪惡小鹿鹿 <Deer.twbbs.org> ◆ From: kde07.eic.nctu.edu.tw

[ahom]

幫你補充
你的xp在開機後會一直出現
遠端程序呼叫 (Remote Procedure Call, RPC)服務終止然後重開機嗎?
在去年末，微軟公佈了一個比較嚴重的RPC緩衝溢出的漏洞(BUG)，隨後出現了針對Win2000/XP remote RPC的拒絕服務攻擊工具，對對方的135端口實施攻擊，沒有安裝更新的Win2000/XP系統被攻擊後會導致RPC服務中止並造成系統不穩定，在XP下系統會被強制重新啟動。

[iamdc]

最初由 可愛滴小玉 發表
http://microsoft.com/downloads/deta...32-3DE40F69C074


http://download.microsoft.com/downl...980-x86-CHT.exe

妳貼的連結是被截短過的，連結位置不完整所以無法下載喔∼

修正Microsoft RPC接口遠程任意代碼可執行漏洞
http://omega.idv.tw/kdb120/viewthread.php?threadid=1841

[可愛滴小玉]

賽門鐵克賽門鐵克安全機制應變中心,於2003/08/11,發怖3級病毒警訊通知-W32.Blaster.Worm,這隻病蟲主要是利用微軟的-Buffer Overrun In RPC Interface Could Allow Code Execution 漏洞(在2003/07/16已公怖修補程式,可上網取得【Microsoft 安全性公告 MS03-026 須知】),會透過TCP port 135.下載並執行 Msblast.exe 這支檔案.
由於這隻病蟲會透過TCP 135, TCP 4444, UDP 69 非法存取,可透過防火牆的機制或安裝symantec client Security 來阻斷類似的攻擊.詳細病毒資訊請參考以下連結http://www.sarc.com/avcenter/venc/da...ster.worm.html

[jones186]

物件名稱:\WINDOWS\System32\msblast.exe
病毒名稱: W32.Blaster.worm

被我的Norton攔到...
還有61.43.32.135 這個IP攻擊我的電腦 T_T

[du2939]

感謝各位大大的告知,今早開機就發生上述狀況,
上網大約5分鐘就出現什麼遠端錯誤..........
必須關機重新啟動,找了一個上午還不知什麼原因
趁著還未自動關機找到本站,才得以解決,
再次誠摯感謝各位,謝謝!

[rob]

可參考這裡
http://forum.icst.org.tw/phpBB2/vie...ghlight=blaster

[speed101]

用 98 好像都沒事耶....感謝.

[chaokai]

今天遇到三個人問我了，
還好平常有在用shutdown指令
下個shutdown -a就讓那個自動重開機的視窗關閉了
再安裝微軟的patch就OK了...

[ving]

我也中了這隻毒，
難怪我用netstat查看，
epmap這個port一直在送東西。
沒想到昨天才發佈的病毒，
今天就中了。