gx21
2003-08-12, 05:00 PM
資料來源:
http://www.trendmicro.com/vinfo/zh-tw/virusencyclo/default5.asp?VName=WORM_MSBLAST.A
解決方案:
如何自我檢測是否感染病毒
企業用戶:
一旦感V此蠕蟲, 系統將開啟port 4444與port 69,並攻擊其他電腦的port 135, 建議企業用戶封鎖防火牆與路由器上的port 4444, port 135, 與port 69.
可使用port scan等相關工具掃描內部網路內的系統是否有開啟port 4444與port 69,以判斷是否感染WORM_MSBLAST.A.
個人用戶:
個人用戶可依照下面步驟檢測自己的電腦是否感染WORM_MSBLAST.A.此病毒只感染Windows NT/2000/XP/2003(.Net)系統,故下面方式只適用於Windows NT/2000/XP/2003(.Net)的作業系統.Windows 9x/ME無法使用.
點選開始>執行, 輸入cmd後按Enter以便開啟命令提示字元.
鍵入指令:
netstat -a
查看列出的清單中是否有下列字串: Protocal Local Address Foreign Address Status
TCP <電腦名稱>:4444 <電腦名稱>:0 LISTENING
UDP <電腦名稱>:69 <電腦名稱>:0 LISTENING
若有符合上述條件表示系統可能感染此蠕蟲病毒,請依照趨勢科技所提供的清除步驟清除該病毒.
預防方式
請更新微軟修正程式MS03-026.(執行Windows Update即可更新此程式)
若已安裝MS03-026,用戶可在新增移除程式內看到"Windows 2000(XP) Hotfix-KB823980".
企業用戶可使用微軟所提供Windows 弱點掃描分析工具來確認Intranet內所有電腦是否已安裝該修正程式.
自動清除步驟
個人用戶:
未安裝防毒軟體的使用者可下載Trend Micro System Cleaner與 最新病毒碼 ,將sysclean.com與病毒碼檔案LPT$VPN.xxx(xxx為病毒碼號碼,滑鼠點兩下執行自解檔LPT$xxx.exe便會產生該檔案)放置相同資料夾內.
Pc-cillin用戶請先更新至最新病毒碼, 下載Trend Micro System Cleaner放置於Pc-cillin資料夾下.(預設路徑為C:\ProgramFiles\Trend Micro\Pc-cillin2003)
執行sysclean.com掃描您的系統.
企業用戶:
部署TSC至OfficeScan用戶端
請先下載TSC.zip, 內含TSC.exe與TSC.ptn兩個檔案
將TSC解壓縮至OfficeScan Server上的..\PCCSRV\Admin.
刪除..\PCCSRV\Download\hotfix95.txt及hotfixnt.txt.
修改..\PCCSRV\Autopcc.cfg\AP95.ini, 新增下列文字:
ADMIN\TSC.ptn
新增後請多按一次Enter確定文件末端多一行空白列.
修改..\PCCSRV\Autopcc.cfg\APNT.ini, 新增下列文字:
ADMIN\TSC.ptn
新增後請多按一次Enter確定文件末端多一行空白列.
請將..\PCCSRV\Admin\Utility\Touch\TmTouch.exe複製到..\PCCSRV\Admin目錄下.
打開命令提示字元並移至..\PCCSRV\Admin>的狀態下, 輸入下列指令後按Enter:
TmTouch.exe TSC.*
至\PCCSRV\Admin目錄確認TSC.exe及TSC.ptn日期是否為今日.
以上步驟作完後OfficeScan Server會自動部署TSC至用戶端.
用戶端重新開機後執行手動掃描時會自動執行TSC.
手動清除步驟
關閉惡意程式
此程序可關閉惡性程式於記憶體中的處理程序.
開啟Windows工作管理員, 按
CTRL+SHIFT+ESC, 點選處理程序標籤.
於正在執行的處理程序清單中, 找到下述執行檔:
MSBLAST.EXE
選擇此惡意程式的處理程序, 然後按下"結束處理程序"的按鈕.
為了確認是否已經結束所有惡意程式的處理程序, 關閉工作管理員,然後再次開啟.
關閉工作管理員.
移除登錄編輯程式中自動啟動的機碼
移除登錄編輯程式中自動啟動的機碼可防止惡意程式在開機的時候自動執行.
開啟登錄編輯程式.點選開始>執行, 輸入REGEDIT, 然後按Enter.
在左側視窗中, 滑鼠雙擊下述路徑:
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
在右側視窗中,刪除此機碼:
"windows auto update" = MSBLAST.EXE
關閉登錄編輯程式.
NOTE:假如用戶無法依照先前的步驟關閉記憶體中惡意程式的處理程序,請重新啟動電腦.
Windows ME/XP額外清除步驟
使用趨勢科技防毒軟體
使用趨勢科技防毒軟體掃描您的系統, 刪除所有感染WORM_MSBLAST.A的檔案. 趨勢科技用戶必須下載 最新病毒碼 和掃描系統.
------------------------------------------------------------------
唉...我也中了說,難怪這幾天我都覺得怪怪的RPC一直突然停止
http://www.trendmicro.com/vinfo/zh-tw/virusencyclo/default5.asp?VName=WORM_MSBLAST.A
解決方案:
如何自我檢測是否感染病毒
企業用戶:
一旦感V此蠕蟲, 系統將開啟port 4444與port 69,並攻擊其他電腦的port 135, 建議企業用戶封鎖防火牆與路由器上的port 4444, port 135, 與port 69.
可使用port scan等相關工具掃描內部網路內的系統是否有開啟port 4444與port 69,以判斷是否感染WORM_MSBLAST.A.
個人用戶:
個人用戶可依照下面步驟檢測自己的電腦是否感染WORM_MSBLAST.A.此病毒只感染Windows NT/2000/XP/2003(.Net)系統,故下面方式只適用於Windows NT/2000/XP/2003(.Net)的作業系統.Windows 9x/ME無法使用.
點選開始>執行, 輸入cmd後按Enter以便開啟命令提示字元.
鍵入指令:
netstat -a
查看列出的清單中是否有下列字串: Protocal Local Address Foreign Address Status
TCP <電腦名稱>:4444 <電腦名稱>:0 LISTENING
UDP <電腦名稱>:69 <電腦名稱>:0 LISTENING
若有符合上述條件表示系統可能感染此蠕蟲病毒,請依照趨勢科技所提供的清除步驟清除該病毒.
預防方式
請更新微軟修正程式MS03-026.(執行Windows Update即可更新此程式)
若已安裝MS03-026,用戶可在新增移除程式內看到"Windows 2000(XP) Hotfix-KB823980".
企業用戶可使用微軟所提供Windows 弱點掃描分析工具來確認Intranet內所有電腦是否已安裝該修正程式.
自動清除步驟
個人用戶:
未安裝防毒軟體的使用者可下載Trend Micro System Cleaner與 最新病毒碼 ,將sysclean.com與病毒碼檔案LPT$VPN.xxx(xxx為病毒碼號碼,滑鼠點兩下執行自解檔LPT$xxx.exe便會產生該檔案)放置相同資料夾內.
Pc-cillin用戶請先更新至最新病毒碼, 下載Trend Micro System Cleaner放置於Pc-cillin資料夾下.(預設路徑為C:\ProgramFiles\Trend Micro\Pc-cillin2003)
執行sysclean.com掃描您的系統.
企業用戶:
部署TSC至OfficeScan用戶端
請先下載TSC.zip, 內含TSC.exe與TSC.ptn兩個檔案
將TSC解壓縮至OfficeScan Server上的..\PCCSRV\Admin.
刪除..\PCCSRV\Download\hotfix95.txt及hotfixnt.txt.
修改..\PCCSRV\Autopcc.cfg\AP95.ini, 新增下列文字:
ADMIN\TSC.ptn
新增後請多按一次Enter確定文件末端多一行空白列.
修改..\PCCSRV\Autopcc.cfg\APNT.ini, 新增下列文字:
ADMIN\TSC.ptn
新增後請多按一次Enter確定文件末端多一行空白列.
請將..\PCCSRV\Admin\Utility\Touch\TmTouch.exe複製到..\PCCSRV\Admin目錄下.
打開命令提示字元並移至..\PCCSRV\Admin>的狀態下, 輸入下列指令後按Enter:
TmTouch.exe TSC.*
至\PCCSRV\Admin目錄確認TSC.exe及TSC.ptn日期是否為今日.
以上步驟作完後OfficeScan Server會自動部署TSC至用戶端.
用戶端重新開機後執行手動掃描時會自動執行TSC.
手動清除步驟
關閉惡意程式
此程序可關閉惡性程式於記憶體中的處理程序.
開啟Windows工作管理員, 按
CTRL+SHIFT+ESC, 點選處理程序標籤.
於正在執行的處理程序清單中, 找到下述執行檔:
MSBLAST.EXE
選擇此惡意程式的處理程序, 然後按下"結束處理程序"的按鈕.
為了確認是否已經結束所有惡意程式的處理程序, 關閉工作管理員,然後再次開啟.
關閉工作管理員.
移除登錄編輯程式中自動啟動的機碼
移除登錄編輯程式中自動啟動的機碼可防止惡意程式在開機的時候自動執行.
開啟登錄編輯程式.點選開始>執行, 輸入REGEDIT, 然後按Enter.
在左側視窗中, 滑鼠雙擊下述路徑:
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
在右側視窗中,刪除此機碼:
"windows auto update" = MSBLAST.EXE
關閉登錄編輯程式.
NOTE:假如用戶無法依照先前的步驟關閉記憶體中惡意程式的處理程序,請重新啟動電腦.
Windows ME/XP額外清除步驟
使用趨勢科技防毒軟體
使用趨勢科技防毒軟體掃描您的系統, 刪除所有感染WORM_MSBLAST.A的檔案. 趨勢科技用戶必須下載 最新病毒碼 和掃描系統.
------------------------------------------------------------------
唉...我也中了說,難怪這幾天我都覺得怪怪的RPC一直突然停止