漏洞现象: 系统不稳定出现 SCVHOST错误 ,开机后无法做复制 粘贴等操作 无法打开 OUTLOOK IE的程序 机器在1~2分内出现RPC错误重新启动.
这是部分现象 我还没有经历 虽然没有补漏洞但我没有被攻击
WIN2000需要下载中文版补丁 西瓜上面贴出来的 记得选择中文补丁
CCENT有 但访问量太大大不开了 所以临时提供个下载
需要说明 已经补有SP4的还需要加修此补丁
检体中文 2000 补丁
http://youid.com/Windows2000-KB823980-x86-CHS.exe
另外补充一点 是RPC 与WIN系统内核整和了
很多服务都和RPC联系 不推荐关闭RPC服务的方法防止病毒
比较有效的防范方法是 关闭传播端口 打新补丁
在昨天 中所有关闭135端口的服务器都没有被感染
被感染的都是 安全措施比较差的服务器和个人机器
因为攻击代码已经被穿播出来 只要做小小修改 就会出现
攻击器 和 病毒变种 所以建议大家及时步上补丁
影响系统: Windows 2000, Windows XP / Windows 2003
CVE参考: CAN-2003-0352
McAfee 命名为:W32/Lovsan.worm
简单描述:
W32.Blaster.Worm 是一种利用DCOM RPC 漏洞进行传播的蠕虫,传播能力很强。
详细描述请参照Microsoft Security Bulletin MS03-026
(
http://www.microsoft.com/technet/security/bulletin/MS03-026.asp)
感染蠕虫可能导致系统不稳定,有可能造成系统崩溃 ,它扫描端口号是TCP/135,
传播成功后他会利用tcp/4444和UDP 69端口下载并运行它的代码程序Msblast.exe.
这个蠕虫还将对windowsupdate.com进行拒绝服务攻击。这样做的目的是为了不能使您
及时地得到这个漏洞的补丁
CCERT正在分析蠕虫的传播机理。
网络控制方法:
如果您不需要应用这些端口来进行服务,为了防范这种蠕虫,你应该在防火墙上阻塞TCP port 4444 ,
和下面的端口:
TCP 4444 蠕虫开设的后门端口,用于远程控制
UDP Port 69, 用于文件下载
TCP Port 135, 微软:DCOM RPC
计算机处理办法:
蠕虫攻击不成功可能导致系统出现了不正常,比如拷贝、粘贴功能不工作,RPC 服务停止;
建议你重新启动计算机,立刻打补丁(下载地址见下文);
如果你的系统被感染了,系统可能出现如下特征:
1. 被重启动;
2. 用netstat 可以看到大量tcp 135端口的扫描;
3. 系统中出现文件: %Windir%\system32\msblast.exe
4. 系统工作不正常,比如拷贝、粘贴功能不工作,IIS服务启动异常等;
手动删除办法:
1. 检查、并删除文件: %Windir%\system32\msblast.exe
2. 打开任务管理器,停止以下进程 msblast.exe .
3. 进入注册表(“开始->运行:regedit)
找到键值:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
在右边的栏目, 删除下面键值:
"windows auto update"="msblast.exe"
4. 给系统打补丁(否则很快被再次感染)
更多补丁信息请参见:
http://www.microsoft.com/technet/security/bulletin/MS03-026.asp
1、
http://www.securityfocus.com/news/6689
2、
http://www.microsoft.com/technet ... =/technet/security/
bulletin/MS03-026.asp
3、
http://www.securityfocus.com/columnists/174
4、
http://isc.sans.org/diary.html?date=2003-08-11
]