【新聞】WORM_MSBLAST.A 不看你會後悔 ~連我也重鑣了

**erxx2002** · 2003-08-12, 03:42 PM

目前已經有 DCOM RPC 的漏洞被不肖分子所利用, 撰寫出分散式攻擊的程式,

被攻擊的電腦將常駐一個軟體, 不但開啟後門並且自動持續攻擊其他台電腦!!

目前 Symantec 公司已經將其命名為 W32.Blaster.Worm，美國的網站資料已經

更新，但台灣的網站還沒有。

網址在:
http://securityresponse.symantec.com...ster.worm.html

該蠕蟲作者有計畫地將中毒的電腦於 8/15 開始，持續攻擊 windowsupdate.com 網站。

已經確定全系列的 NT-Based 系統皆受影響.

Windows 2000 從 SP0, SP1, SP2, SP3, SP4 全部受影響.
Windows XP 從 SP0, SP1 全部受影響.
Microsoft Windows NTR 4.0
Microsoft Windows NT 4.0 Terminal Services Edition
Microsoft Windows Server? 2003

!! 怎樣確定自己的電腦已經中毒 ?
* 如果你的電腦動不動就跟你說要重新開機 (60 秒)

* 或是:

[開始]->執行->Taskmgr.exe [ENTER] 後, 看一下有沒有 MSBLAST.EXE 這個

程式正在運作, 如果有, 也表示你已經中毒!

!! 中毒解毒程序: (確定這樣的解法沒有問題)

0 . 開始->執行->CMD.EXE [ENTER] (開啟Command line 視窗)

若系統跟你說要重新開機了, 請輸入shutdown -a [enter] 取消重新開機指令.

1 . 刪除 MSBLAST.EXE 這個 Process (直接在上面按右鍵, 選結束處理程序即可)

2 . 到微軟官方網站抓 DCOM RPC 的漏洞 Patch, 先存到硬碟去.

微軟官方網站:
http://www.microsoft.com/taiwan/secu...s/ms03-026.asp
這是中文版,比較沒有衝突------>感謝sapou0918提供
3 . 拔掉網路線

4 . 用檔案總管, 到 Windows\System32 這個目錄下面找到 MSBLAST.EXE,

按右鍵選內容將唯讀取消掉, 然後把這個程式幹掉.

5 . 開始->執行->regedit.exe , 並且到:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下面

將右邊的 "windows auto update" 這個鍵值直接砍掉, 砍掉後關閉登陸編輯程式.

6 . 執行你剛剛所抓下來的 Patch

7 . 重新開機
6 . 執行你剛剛所抓下來的 Patch

7 . 重新開機

8 . 接上網路線, 大功告成.

**jackal0601** · 2003-08-12, 04:04 PM

我將我收到的信件內容轉貼於此
希望能帶給大家一點資訊

微軟安全反應中心已經發佈W32.Blaster.Worm的病毒通知。此病毒名稱對於不同的防毒軟體有不同的名稱定義W32/Lovsan.worm (McAfee), WORM_MSBLAST.A (Trendmicro), Win32.Posa.Worm (Computer Associates)，您需要安裝微軟的安全性修正程式MS03-026以避免遭受病毒的攻擊。

CRITICAL SECURITY ALERT - PSS SECURITY ALERT

PARTNER LEVEL NDA PSS Security Team Alert - 08/12/2003

New Virus: W32.Blaster.worm

影響產品：

Windows XP, Windows 2000, Windows Server 2003, Windows NT 4.0, NT 4.0 Terminal Services Edition

說明：

微軟安全反應中心已經發佈W32.Blaster.Worm的病毒通知。此病毒名稱對於不同的防毒軟體有不同的名稱定義W32/Lovsan.worm (McAfee), WORM_MSBLAST.A (Trendmicro), Win32.Posa.Worm (Computer Associates)，您需要安裝微軟的安全性修正程式MS03-026以避免遭受病毒的攻擊。

造成的影響：

透過RPC Port來傳遞，遭受感染的機器會不斷的重新啟動，且在%systemroot%\windows32 目錄底下您可以發現一個檔案名稱為msblast.exe

技術細節：

此病毒會掃描您網段中的電腦，並透過TCP Port 135傳送病毒本身，如果目的端電腦沒有安裝MS03-026，此病毒將會感染此電腦，並在登錄檔中建立以下登錄值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill

中毒現象：

1. Windows 會無預期的重新開機.

2. 在%systemroot%\windows32 目錄底下您可以發現一個檔案名稱為msblast.exe

3. 在系統中存在TFTP*的檔案

解決方法：

遭受病毒感染的解決步驟：

如果您不是Windows XP的用戶：

1. 開始, 執行, 輸入 cmd, 確定

2. 在 command prompt, 輸入 shutdown -a , 停止關機程序

3. 按 Alt-Ctrl+Del 後, 在工作管理員裡, 將 MSBLAST 關閉

4. 請更新防毒軟體的病毒碼(如果客戶的系統沒有安裝防毒軟體，請連線到此網址執行線上掃瞄http://housecall.antivirus.com)。

5. 下載修正程式 MS03-026

下載位址：http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp

6. 拔除網路線

7. 掃描您的系統確定沒有病毒存在(您可以下載您防毒軟體廠商所提供的清除工具來刪除病毒)

8. 安裝修正程式

9. 重新啟動電腦

10. 接上網路線

如果您是 Windows XP的用戶：

1. 開始, 執行, 輸入 cmd, 確定

2. 在 command prompt, 輸入 shutdown -a , 停止關機程序

3. 按 Alt-Ctrl+Del 後, 在工作管理員裡, 將 MSBLAST 關閉

4. 請更新防毒軟體的病毒碼(如果客戶的系統沒有安裝防毒軟體，請連線到此網址執行線上掃瞄http://housecall.antivirus.com)。

5.下載修正程式 MS03-026

下載位址：http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp

6. 拔除網路線

7. 掃描您的系統確定沒有病毒存在(您可以下載您防毒軟體廠商所提供的清除工具來刪除病毒)

8. 安裝修正程式

9. 重新啟動電腦

10. 啟動網際網路連線防火牆 (ICF). 參考文件: http://support.microsoft.com/?id=283673

手動啟動步驟如下:

a. 開啟控制台\開啟網路連線

b. 針對您的網路卡按滑鼠右鍵選內容

c. 點選進階標籤，網際網路連線防火牆 (ICF)]，請選取 [以限制或防止來自網際網路對這台電腦的存取來保護我的電腦] 核取方塊。

11. 接上網路線

尚未遭受病毒感染應採取的步驟：

為了確保您的系統不會遭受此病毒的攻擊，您需要安裝微軟的安全性修正程式MS03-026

下載位址：http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp

更多資訊：

您可以參考其他防毒軟體廠商所提供的相關資訊：

Network Associates: http://us.mcafee.com/virusInfo/defau...virus_k=100547

Trend Micro: http://www.trendmicro.com/vinfo/viru...WORM_MSBLAST.A

Symantec: http://securityresponse.symantec.com...ster.worm.html

Computer Associates: http://www3.ca.com/virusinfo/virus.aspx?ID=36265

For more information on Microsoft’s Virus Information Alliance please visit this link: http://www.microsoft.com/technet/security/virus/via.asp

如欲了解更多此病毒的相關資訊，請直接洽詢您的防毒軟體廠商

CRITICAL SECURITY ALERT - PSS SECURITY ALERT

**shenhwang** · 2003-08-12, 06:33 PM

新聞稿轉貼

電腦病蟲名稱：布雷斯特病蟲（W32.Blaster.Worm）
病蟲危害指數：4級
病毒名稱說明：利用微軟作業系統漏洞進行攻擊的病蟲

布雷斯特病蟲(W32.Blaster.Worm)來襲引發虛擬世界三級地震
請用戶請立即更新病毒定義檔至八月十一日以後

昨晚地牛翻身，今天虛擬世界也不平靜，賽門鐵克安全機制應變中心昨日發現一利用微軟作業系統漏洞進行攻擊的病蟲,並於今(12)發布三級病蟲通報:布雷斯特病蟲(W32.Blaster.Worm)。布雷斯特病蟲(W32.Blaster.Worm)會利用微軟作業系統中「遠端程序呼叫」(DCOM RPC)中緩衝區溢位的漏洞，再透過通訊埠TCP135進入，下載並啟動Msblast.exe檔感染受害者電腦。布雷斯特病蟲會試圖透過通訊埠TCP 4444連上主機，並使用TFTP檔案傳輸協定將自身複製並安裝在系統上。

根據賽門鐵克DeepSight早期預警管理系統所得數據顯示，全球超過57,000系統遭受感染，且目前正針對通訊埠135進行大規模的攻擊。布雷斯特病蟲感染的速度相當驚人，感染數據至昨天為止平均約為1,000到2,000起，今日則暴增為57,000起。賽門鐵克安全委外服務(Symantec Managed Security Services)表示，布雷斯特病蟲繁殖的速度非常驚人，相較於年初的Slammer病蟲，其傳播速度約為Slammer的20%，較其他三級病蟲而言算是相當迅速，台灣也有不少災情傳出。賽門鐵克強烈呼籲企業及個人用戶立即至微軟網站下載漏洞修補程式，提高警覺，慎防受害。(修補程式下載網站：http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp

病蟲特徵:
布雷斯特病蟲(W32.Blaster.Worm)會利用微軟作業系統中「遠端程序呼叫」(DCOM RPC)中緩衝區溢位的漏洞，再透過通訊埠TCP135進入，下載並啟動Msblast.exe檔感染受害者電腦。布雷斯特病蟲會試圖透過通訊埠TCP 4444連上主機，並使用TFTP檔案傳輸協定將自身複製並安裝在系統上。另外布雷斯特病蟲狡猾的地方在於，它會在使用者嘗試著在windowsupdate.com下載修復程式時，以阻斷服務（Denial of Service/DOS）的方式阻斷使用者電腦下載修復的動作。特別的是，布雷斯特病蟲只會在一段特定的時間內發動阻斷式攻擊（Denial of Services/DoS），根據賽門鐵克的分析指出，發動阻斷式攻擊的期間將發生在每年8月15日之後，並持續到年底為止。

感染途徑:
1. 導致系統不穩，或是使受感染機器當機
2. 病蟲會開啟一個隱藏的遙控介面(cmd.exe)，企圖終止安全產品的設定

傳播方式：
1. 利用通訊埠TCP 135, TCP 4444, 及UDP 69進行攻擊
2. 感染具有漏洞的遠端程序呼叫(DCOM RPC)應用程式

賽門鐵克安全機制應變中心的建議措施：
1. 下載W32.Blaster.Worm的修正工具進行修復，可連結至http://securityresponse.symantec.com...r/FixBlast.exe
2. IT管理員應立即調整防火牆規則，封鎖通訊埠135-139及通訊埠445進出的網路流量
3. IT管理員亦可以藉由改變router存取控制清單(ACLs)來終止網路流量。
4. 至下列微軟網站下載漏洞修補程式，並確實安裝：
http://www.microsoft.com/technet/tre...n/MS03-026.asp
5. 終止Windows Me/XP的系統儲存程式
6. 更新最新病毒定義檔
7. 受感染的若為Windows 95/98/Me作業系統，請重新啟動電腦並選擇安全模式(Safe Mode); 若為Windows NT/2000/XP作業系統，請終止木馬程式程序
8. 執行全系統掃瞄，並刪除任何偵測出為布雷斯特病蟲(W32.Blaster.Worm)的程式

賽門鐵克電腦病蟲危害指數：
賽門鐵克安全機制應變中心根據電腦病毒/蟲感染範圍、危害程度以及散布速度，將所偵測到的病毒/蟲進行危害指數1到5的分級，級數越高，表示此一病毒/蟲感染速度、危害程度以及散布速度都較快，因此可能造成的影響範圍也就越廣。

危害指數 5級極度危險。如：情書病蟲剛出現時(VBS.LoveLetter.A)
危害指數 4級危險。如：CIH病毒 (CIH)，聖誕節病蟲
危害指數 3級中度。如：費茲病蟲 W32.HLLW.Fizzer@mm
危害指數 2級輕度。如：泡泡男孩（Bubbleboy）
危害指數 1級低度。

賽門鐵克安全機制應變中心(Symantec Security Response)
針對網路上產生的各種惡意威脅，安全機制應變中心提供鉅細靡遺的分析，了解其運作模式，並提供即時的應變及解決方案

**rich55888** · 2003-08-12, 07:19 PM

中獎了ˊˋ跟大家的一樣
可是我砍不掉msblast.exe怎麼辦好煩喔~~
安全模式也一樣殺不掉登錄裡面的已經殺掉了
修正檔ㄝ下載好了還沒安裝因為msblast.exe殺不掉
我可以不用裡它直接裝修正檔嗎??
======================================
呼終於殺掉它了..
也安裝了修正檔.
安心了一點點..