【 教學】電腦一直自動重新關機解決方法 (疾風病毒 - WORM_MSBLASR.A的新型駭客病毒)


頁 : [1] 2 3 4 5 6

可愛滴小玉
2003-08-12, 05:24 AM
第一篇發言內容因為 URL 連結錯誤被站長修改了 , 變成整理此病毒資料以幫助網友 , 希望原作者可以諒解

========================================================================

繁體中文 Windows 各版本針對更新 "疾風病毒 - WORM_MSBLASR.A" 更新程式下載:

Windows NT 4.0 Server :
http://microsoft.com/downloads/details.aspx?FamilyId=2CC66F4E-217E-4FA7-BDBF-DF77A0B9303F&displaylang=zh-tw

Windows 2000:
http://microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F-220354449117&displaylang=zh-tw

Windows XP 32 bit Edition :
http://microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=zh-tw

Windows Server 2003 32 bit Edition:
http://microsoft.com/downloads/details.aspx?FamilyId=F8E0FF3A-9F4C-4061-9009-3A212458E92E&displaylang=zh-tw

相關信息
MS03-026:RPC 介面中的緩衝區滿溢可能會允許執行程式碼
http://support.microsoft.com/default.aspx?scid=kb;zh-tw;823980

========================================================================

資料來源 :
http://tw.news.yahoo.com/2003/08/12/finance/cna/4167867.html

中央社記者韋樞台北十二日電)防毒軟體廠商趨勢科技今天發佈中度風險病毒警訊,一隻名為「疾風病毒」─WORM_MSBLASR.A的新型駭客病毒,正透過微軟Windows 系統的漏洞,橫掃攻擊全球各地電腦用戶。趨勢科技呼籲使用者即刻更新掃瞄引擎至5.6以上和病毒碼至604( 含)以上,並立即下載清除程式以偵測及清除此病毒。

  趨勢科技表示,目前已知在美洲、南美洲、歐洲與台灣均有災情陸續傳出,並且造成某些伺服器停擺及企業Intranet網路壅塞無法使用。而由年初 Slammer病毒發作時對全球電腦用戶所造成的嚴重災情,當時政府下令全面戒備為藍色警戒的情況來看,此病毒將有嚴重的災情發生,趨勢科技呼籲用戶千萬不可掉以輕心。

趨勢科技指出,此次「疾風病毒」傳染途徑和年初爆發的「 SQL警戒病毒」相似,同樣是採取分散式阻斷服務 (DDOS)攻擊感染微軟Windows NT4.0以上的電腦。受病毒感染的電腦會利用 Windows系統漏洞採取阻斷服務攻擊 135連接埠中RPC (remote Procedure Call )Buffer Overrun的弱點,造成電腦無法正常作業或當機停擺及網路壅塞,同時再透過69與4444連結埠去攻擊感染更多的電腦。

  此外,這個病毒有特定攻擊時間,在一至八月的十六日至三十一日,以及九到十二月每天都會針對Windows Update Server發動攻擊。根據先前同類病毒發作經驗,當這隻病毒透過網路四處流竄時,不但會攻擊其他更多的電腦,也會大量消耗網路資源,降低效能,對企業電腦用戶會造成極大的影響。值得注意的是,由於距離微軟所公佈的最新修正程式不到一個月,所以許多電腦用戶尚未完成更新程序,因此可能會有更多的災情陸續傳出。而由年初 Slammer病毒發作時對全球電腦用戶所造成的嚴重災情,趨勢科技呼籲用戶千萬不可掉以輕心,務必至微軟網站下載最新的病毒碼,或下載趨勢科技最新清除程式,以偵測及清除此病毒。

========================================================================

因應網路病毒「W32.Blaster.Worm」,微軟提出快速解決方案

資料來源:
https://www.microsoft.com/taiwan/press/2003/0812.htm

用戶可以立即上網下載修正程式,或直撥技術支援專線 02-66359111 洽詢
   
(2003 年 8 月 12 日,台北) 台灣微軟公司今 (十二) 日宣布,針對 W32.Blaster.Worm 的病毒,已提供安全性修正程式 MS03-026 於微軟網站上,請客戶儘快到下列網址下載並且安裝,以避免遭受攻擊。


http://www.microsoft.com/taiwan/security/security_bulletins/ms03-026.asp


台灣微軟公司表示,該安全性修正程式 MS03-026 已於今年 7 月 17 日公佈於微軟公司網站上,並且主動通知客戶下載,若用戶已安裝該修正程式即可免受此次病毒的威脅,請尚未安裝的客戶儘快下載並且安裝,以避免遭受攻擊。

由於有部分企業尚未即時安裝安全性修正程式 MS03-026,導致遭受病毒影響,台灣微軟公司深表遺憾,目前已主動通知企業用戶及技術支援合約客戶,提醒他們重視此一病毒可能造成的影響與解決方案。台灣微軟公司並於本週 (8/12~8/15) 提供全天候 24 小時電話支援服務,有需要的用戶可以直撥 02-66359111 洽詢。或者可於上班時間透過微軟客服專線 02-66263366 洽詢。

更多相關的技術支援訊息請參考網站:http://www.microsoft.com/taiwan/support/

================================================================

在 bbs 上看到的此病毒資訊及解決方式

資料來源 : Deer.twbbs.org
-------------------------------------------------------

發信人: chunhan.bbs@Deer.twbbs.org (Hook Club INC.), 看板: virus
標 題: [轉錄][解除病毒] 重要!! 請大家盡快裝 Patch !! (新版)
發信站: 小鹿鹿 BBS (Tue Aug 12 09:50:01 2003)
轉信站: NCKU!ccnews.ncku!news.ccns.ncku!news.civil.ncku!netnews.csie.nctu!ctu-

※ 本文轉錄自 [nctu.talk] 看板

作者: chunhan (Hook Club INC.) 看板: nctu.talk
標題: [解除病毒] 重要!! 請大家盡快裝 Patch !! (新版)
時間: Tue Aug 12 09:09:34 2003

目前已經有 DCOM RPC 的漏洞被不肖分子所利用, 撰寫出分散式攻擊的程式,

被攻擊的電腦將常駐一個軟體, 不但開啟後門並且自動持續攻擊其他台電腦!!

目前 Symantec 公司已經將其命名為 W32.Blaster.Worm,美國的網站資料已經

更新,但台灣的網站還沒有。

網址在:
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html

該蠕蟲作者有計畫地將中毒的電腦於 8/15 開始,持續攻擊 windowsupdate.com 網站。

已經確定全系列的 NT-Based 系統皆受影響.

Windows 2000 從 SP0, SP1, SP2, SP3, SP4 全部受影響.
Windows XP 從 SP0, SP1 全部受影響.
Microsoft Windows NTR 4.0
Microsoft Windows NT 4.0 Terminal Services Edition
Microsoft Windows Server? 2003

========================================================================

!! 怎樣確定自己的電腦已經中毒 ?

* 如果你的電腦動不動就跟你說要重新開機 (60 秒)

* 或是:

[開始]->執行->Taskmgr.exe [ENTER] 後, 看一下有沒有 MSBLAST.EXE 這個

程式正在運作, 如果有, 也表示你已經中毒!

========================================================================

!! 中毒解毒程序: (確定這樣的解法沒有問題)

0 . 開始->執行->CMD.EXE [ENTER] (開啟Command line 視窗)

若系統跟你說要重新開機了, 請輸入shutdown -a [enter] 取消重新開機指令.

1 . 刪除 MSBLAST.EXE 這個 Process (直接在上面按右鍵, 選結束處理程序即可)

2 . 到微軟官方網站抓 DCOM RPC 的漏洞 Patch, 先存到硬碟去.

微軟官方網站:
http://www.microsoft.com/technet/security/bulletin/MS03-026.asp

我已經 Mirror 一份到 http://w3.cis92.net/rpc/ 下面.
(在交大裡面, 只有 W2K 和 XP)

w2k 裡面的 CHT 表示中文版本, EN 表示英文版本

xp 也是一樣的.

3 . 拔掉網路線

4 . 用檔案總管, 到 Windows\System32 這個目錄下面找到 MSBLAST.EXE,

按右鍵選內容將唯讀取消掉, 然後把這個程式幹掉.

5 . 開始->執行->regedit.exe , 並且到:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下面

將右邊的 "windows auto update" 這個鍵值直接砍掉, 砍掉後關閉登陸編輯程式.

6 . 執行你剛剛所抓下來的 Patch

7 . 重新開機

8 . 接上網路線, 大功告成.

有問題請直說沒有關係

ps. 別忘了,若您的電腦沒有中毒,也請盡快灌 Patch

by Chen Chun-han @ CIS92.
--
※ Origin: 邪惡小鹿鹿 <Deer.twbbs.org> ◆ From: kde07.eic.nctu.edu.tw

ahom
2003-08-12, 09:06 AM
幫你補充
你的xp在開機後會一直出現
遠端程序呼叫 (Remote Procedure Call, RPC)服務終止然後重開機嗎?
在去年末,微軟公佈了一個比較嚴重的RPC緩衝溢出的漏洞(BUG),隨後出現了針對Win2000/XP remote RPC的拒絕服務攻擊工具,對對方的135端口實施攻擊,沒有安裝更新的Win2000/XP系統被攻擊後會導致RPC服務中止並造成系統不穩定,在XP下系統會被強制重新啟動。

iamdc
2003-08-12, 10:27 AM
最初由 可愛滴小玉 發表
http://microsoft.com/downloads/deta...32-3DE40F69C074


http://download.microsoft.com/downl...980-x86-CHT.exe

妳貼的連結是被截短過的,連結位置不完整所以無法下載喔∼

修正Microsoft RPC接口遠程任意代碼可執行漏洞
http://omega.idv.tw/kdb120/viewthread.php?threadid=1841

可愛滴小玉
2003-08-12, 11:49 AM
賽門鐵克賽門鐵克安全機制應變中心,於2003/08/11,發怖3級病毒警訊通知-W32.Blaster.Worm,這隻病蟲主要是利用微軟的-Buffer Overrun In RPC Interface Could Allow Code Execution 漏洞(在2003/07/16已公怖修補程式,可上網取得【Microsoft 安全性公告 MS03-026 須知】),會透過TCP port 135.下載並執行 Msblast.exe 這支檔案.
由於這隻病蟲會透過TCP 135, TCP 4444, UDP 69 非法存取,可透過防火牆的機制或安裝symantec client Security 來阻斷類似的攻擊.詳細病毒資訊請參考以下連結http://www.sarc.com/avcenter/venc/data/pf/w32.blaster.worm.html

jones186
2003-08-12, 02:14 PM
物件名稱:\WINDOWS\System32\msblast.exe
病毒名稱: W32.Blaster.worm

被我的Norton攔到...
還有61.43.32.135 這個IP攻擊我的電腦 T_T

du2939
2003-08-12, 02:26 PM
感謝各位大大的告知,今早開機就發生上述狀況,
上網大約5分鐘就出現什麼遠端錯誤..........
必須關機重新啟動,找了一個上午還不知什麼原因
趁著還未自動關機找到本站,才得以解決,
再次誠摯感謝各位,謝謝!

rob
2003-08-12, 02:46 PM
可參考這裡
http://forum.icst.org.tw/phpBB2/vie...ghlight=blaster

speed101
2003-08-12, 08:55 PM
用 98 好像都沒事耶....感謝.

chaokai
2003-08-12, 09:57 PM
今天遇到三個人問我了,
還好平常有在用shutdown指令
下個shutdown -a就讓那個自動重開機的視窗關閉了
再安裝微軟的patch就OK了...

ving
2003-08-12, 10:31 PM
我也中了這隻毒,
難怪我用netstat查看,
epmap這個port一直在送東西。
沒想到昨天才發佈的病毒,
今天就中了。