Board logo

标题: xp和2000系统防止rpc崩溃,装补丁防蠕虫 [打印本页]

作者: 悟羽丰    时间: 2003-8-16 21:46

病毒解决办法
问题:winXP不断报“RPC意外中止,系统重新启动”,win2000报svchost.exe出错
该问题是目前出现的win32.blaster.worm病毒针对微软的RPC漏洞进行攻击,在8月11日全球首次发现, 很多杀毒软件公司已更新病毒库可以查杀该病毒,没有安装杀毒软件的用户也可以在本页下面使用trendmicro公司的杀毒工具查杀病毒。此问题和新版客户端升级没有任何关系。
目前已经报告win98、winME发现同类问题,但是没有相关的patch,因此请相关用户先尝试杀毒,如果不成功,建议升级到win2000以上的操作系统,或最近暂停使用。
故障原因:w32.blaster.worm病毒专门攻击Win xp、Win 2000、Win NT和Win 2003的RPC安全漏洞。
故障现象:操作系统不断报“PRC意外中止,系统重新启动”,客户机频繁重启,所有网络服务均出现故障,如IE浏览器打不开,OUTLOOK无法使用等。
解决方法:
1、先在任务管理器中将 msblast.exe 进程杀掉,之后将windows安装目录下的system32文件夹下的msblast.exe 删除(有可能无法删除,则直接执行第2步)。
2、点击开始--〉设置——〉控制面板——〉管理工具——〉服务
然后选择remote procedure call(RPC)并双击它(如图一)

选中Remote Procedure Call(RPC)服务,并将第一次失败、第二次失败、第三次失败的选项选择为不操作(XP下默认为重启计算机)。

3、下载本页下面的RPC漏洞补丁,断开网络,重启机器后安装微软补丁。该补丁需要win2000 ServicePack2以上版本,请到下面网址下载:
http://www.microsoft.com/china/windows2000/sp2.htm
注意:可能个别盗版win XP系统不能正常打上补丁,win2000操作系统必须升级SP2以上版本才可安装补丁
微软的操作系统RPC漏洞补丁:
<a href="http://218.29.0.250/Windows2000-KB823980-x86-CHS.exe" target="_blank">中文2000补丁</a>
<br><a href="http://218.29.0.250/WindowsXP-KB823980-x86-CHS.exe" target="_blank">中文xp补丁</a>
<br />
<a href="http://218.29.0.250/WindowsServer2003-KB823980-x86-CHS.exe" target="_blank">中文2003补丁</a>
4、安装杀毒软件,升级最新的8月11日病毒库进行杀毒。
使用norton的用户请从下面下载最新的病毒库:
<a href="http://218.29.0.250/20030811-019-i32.exe" target="_blank">诺顿最新病毒库</a>
没有安装杀毒软件的用户可以从下面下载trendmicro公司于8月12日提供的杀毒工具,自解压后运行:
<a href="http://218.29.0.250/trendmicro.exe" target="_blank">trendmicro专杀工具</a>
微软网站关于该问题的说明
http://www.microsoft.com/china/technet/security/bulletin/MS03-026.asp
中国病毒响应中心关于RPC的说明
详细描述:
Remote Procedure Call(RPC)是Windows操作系统使用的一种远程过程调用协议,RPC协议
提供一种进程间的交互通信机制,它允许本地机器上的程序进程无缝的在远程系统中运行
代码。该协议的前身是OSF RPC协议,但是增加了微软自己的一些扩展。
最近发现部分RPC在使用TCP/IP协议处理信息交换时不正确的处理畸形的消息导致存在一个
安全漏洞。该漏洞影响使用RPC的DCOM接口,这个接口用来处理由客户端机器发送给服务器
的DCOM对象激活请求(如UNC路径)。如果攻击者成功利用了该漏洞将获得本地系统权限,他
将可以在系统上运行任意命令,如安装程序、查看或更改、删除数据或者是建立系统管理员
权限的帐户等。
要利用这个漏洞,攻击者需要发送特殊形式的请求到远程机器上的135端口.
影响系统:
Microsoft Windows NT 4.0
Microsoft Windows NT 4.0 Terminal Services Edition
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server? 2003
风险:高
危害描述:
远程进入系统执行任意代码
symantec公司关于病毒的说明
w32.blaster.worm病毒

作者: 悟羽丰    时间: 2003-8-16 21:51

崩溃
xp系统RPC崩溃,
“流言”(Worm.SdBotRPC)蠕虫病毒利用微软操作系统平台上RPC系统服务的漏洞正在大规模传播。该蠕虫病毒利用RPC的DCOM接口的漏洞,向远端系统上的RPC系统服务所监听的端口发送攻击代码,从而达到传播的目的。受感染的系统 将在30秒内关闭。

蠕虫会在受感染的机器上留后门,等待远端控制者的命令,或是通过IRC进行病毒的升级等操作。
有很小的可能会被攻击,比较大的可能造成本地电脑出错,你们可以试着安装一个ms的补丁,上个月刚出的,
微软网站详细介绍以及补丁下载
现在网上无聊的人很多,这个补丁大家还是打上的好。
网通上xp系统补丁下载
网通上2000系统补丁下载
以上两个站点电信和网通用户都能下载

MSBLAST蠕虫紧急公告(Alert2003-zh-02)
MSBLAST蠕虫紧急公告!
发布日期:2003-08-12
CVE CAN ID:CAN-2003-0352
BUGTRAQ ID:8205
受影响的软件及系统:
====================
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows 2003
综述:
======
绿盟科技安全小组的HoneyPot监测到一种针对MS06-026 Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞的蠕虫正在活跃,危害极大。
更新记录:
2003-08-12 11:00 文档创建
分析:
======
北京时间2003年08月12日,绿盟科技安全小组的HoneyPot监测到了一种新的攻击,绿盟科技安全小组火速对捕获的数据样本分析和研究,已经明确,这是一个针对MS06-026 Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞(http://www.nsfocus.net/index.php ... iew&bug_id=5147)的蠕虫。因为该漏洞影响所有没有安装MS06-026补丁的Windows 2000、Windows XP、Windows 2003系统,不仅是服务器,也包括个人计算机在内,所以危害极大。
该蠕虫大小为6176字节。用LCC-Win32 v1.03编译,upx 1.22压缩,创建时间是2003年8月11日7点21分。
蠕虫感染系统后首先检测是否有名为“BILLY“的互斥体存在,如果检测到该互斥体,蠕虫就会退出,如果没有,就创建一个。
然后蠕虫会在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中添加以下键值:
“windows auto update“=“msblast.exe“
以保证每次用户登录的时候蠕虫都会自动运行。
蠕虫还会在本地的UDP/69端口上建立一个tftp服务器,用来向其他受侵害的系统上传送蠕虫的二进制程序msblast.exe。
蠕虫选择目标IP地址的时候会首先选择受感染系统所在子网的IP,然后再按照一定算法随机在互连网上选择目标攻击。
一旦连接建立,蠕虫会向目标的TCP/135端口发送攻击数据。如果攻击成功,会监听目标系统的TCP/4444端口作为后门,并绑定cmd.exe。然后蠕虫会连接到这个端口,发送tftp命令,回连到发起进攻的主机,将msblast.exe传到目标系统上,然后运行它。
蠕虫所带的攻击代码来自一个公开发布的攻击代码,当攻击失败时,可能造成没有打补丁的Windows系统RPC服务崩溃,Windows XP系统可能会自动重启。该蠕虫不能成功侵入Windows 2003,但是可以造成Windows 2003系统的RPC服务崩溃,默认情况下,这将使系统重启。
蠕虫检测到当前系统月份是8月之后或者日期是15日之后,就会向微软的更新站点“windowsupdate.com“发动拒绝服务攻击。也就是说,从2003年8月16日开始就会一直进行拒绝服务攻击。
蠕虫代码中还包含以下文本数据:
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!
解决方法:
==========
* 检测是否被蠕虫感染:
1、检查系统的%systemroot%\system32目录下是否存在msblast.exe文件。请在命令提示符中按照下面键入:
C:\>dir %systemroot%\system32\msblast.exe
如果被感染,那么您可以看到类似的显示结果:
C:\>dir %systemroot%\system32\msblast.exe
驱动器 C 中的卷是 sys
卷的序列号是 A401-04A9
C:\WINNT\system32 的目录
2003-08-12 03:03 6,176 msblast.exe
1 个文件 6,176 字节
0 个目录 2,701,848,576 可用字节
2、检查注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run。请在命令提示符中按照下面键入:
C:\>regedit /e tmp.txt HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
C:\>type tmp.txt
如果被感染,那么您可以看到类似的显示结果:
C:\>type tmp.txt
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“windows auto update“=“msblast.exe“
3、在任务管理器中查看是否有msblast.exe的进程。如果有,说明蠕虫正在您的系统上运行。

* 预防蠕虫感染:
安装MS03-026(http://www.microsoft.com/technet/security/bulletin/MS03-026.asp)的安全更新。下载地址:
Windows NT 4.0 Server:
http://microsoft.com/downloads/details.asp...&displaylang=en
Windows NT 4.0 Terminal Server Edition :
http://microsoft.com/downloads/details.asp...&displaylang=en
Windows 2000:
http://microsoft.com/downloads/details.asp...&displaylang=en
Windows XP 32 bit Edition:
http://microsoft.com/downloads/details.asp...&displaylang=en
Windows XP 64 bit Edition:
http://microsoft.com/downloads/details.asp...&displaylang=en
Windows Server 2003 32 bit Edition:
http://microsoft.com/downloads/details.asp...&displaylang=en
Windows Server 2003 64 bit Edition:
http://microsoft.com/downloads/details.asp...&displaylang=en
安装补丁后您需要重新启动系统才能使补丁生效,如有可能,请在下载完补丁后断开网络连接再安装补丁。
* 清除蠕虫
如果发现系统已经被蠕虫感染,我们建议您按照以下步骤手工清除蠕虫:
1、按照上述“预防蠕虫感染”的方法安装补丁。
2、点击左下角的“开始”菜单,选择“运行”,在其中键入“taskmgr”,点击“确定”。这样就启动了任务管理器。在其中查找msblast.exe进程,找到后在进程上单击右键,选择“结束进程”,点击“是”。
3、删除系统目录下的msblast.exe。
4、点击左下角的“开始”菜单,选择“运行”,在其中键入“regedit”,点击“确定”。这样就启动注册表编辑器。在注册表中找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,删除其下的“windows auto update“=“msblast.exe“。
5、重新启动系统。
关于补丁,因为补丁只是起到过滤有效的DCOM服务的作用,所以,在新的变种病毒面前起到的
作用很难说,因此希望不要认为打了补丁就没事了.

作者: 小天堂00    时间: 2003-8-17 22:10

还是选择在线杀毒的好!我喜欢中国的瑞星!
连微软都招病毒,哼,还去他那里打补丁?




欢迎光临 摆渡论坛 (http://wakinchau.net/forum/) wakinchau.net