光电工程师社区

标题: 病毒警告！！！ [打印本页]

作者: weilian 时间: 2003-8-13 06:01
标题: 病毒警告！！！

目前**客服已经接到很多用户的报修，反映winXP系统不断重起。经过查实，是一种新的病毒。

新型病毒出现NT构架用户注意

昨天晚上一种新型的蠕虫病毒迅速在网络上流传开来。截至目前为止多数没有安装防火墙且通霄达旦开机的NT构架用户，都已经遭受的此病毒的攻击。

新型病毒的名称为 W32.Blaster.Worm 之所以能够如此迅速的在网络上流传和感染，是由于此病毒利用了NT构架内Remote Procedure Call (RPC)服务的漏洞来进行攻击的。

目前为止，可能受到攻击的系统包括 Windows 2000/XP 以及 Windows Server 2003。

病毒利用的端口包括

TCP Port 135, DCOM RPC
UDP Port 69, TFTP

目前得到的各种系统的中毒症状如下。

Windows 2000：复制/粘贴无效、svchost.exe服务不断报错、一些硬件加速的功能无法调用、无法拖拽、页面无法浏览等。

Windows XP：系统自动重新启动。

如果有上述症状建立立即安装如下补丁：

Win2000 中文版：

http://download.microsoft.com/download/2/8/1/281c0df6-772b-42b0-9125-6858b759e977/Windows2000-KB823980-x86-CHS.exe

Win2000 英文版：

http://download.microsoft.com/download/0/1/f/01fdd40f-efc5-433d-8ad2-b4b9d42049d5/Windows2000-KB823980-x86-ENU.exe

Windows XP 中文版：

http://download.microsoft.com/download/a/a/5/aa56d061-3a38-44af-8d48-85e42de9d2c0/WindowsXP-KB823980-x86-CHS.exe

Windows XP 英文版：

http://download.microsoft.com/download/9/8/b/98bcfad8-afbc-458f-aaee-b7a52a983f01/WindowsXP-KB823980-x86-ENU.exe

未尽陈列的系统用户我们建议立即登陆Windows Update来进行升级更新。我们建议所有Windows 2000/XP 以及 Windows Server 2003系统的用户立即安装此安全补丁。

若XP用户时常重新启动无法正常安装补丁可以通过命令 shutdown -a 来暂时缓解重起症状。开始＝》运行＝》shutdown -a

同时打开资源管理器检索一下是否有 msblast.exe 在运行，若有先在进程中删除再安装补丁。

作者: suncon 时间: 2003-8-13 06:21
标题: 病毒警告！！！
关于自动关机的说明和解决方法！

这说明你很可能是遭到了利用微软 Windows 操作系统 RPC （远程过程调用协议）系统服务的漏洞而发起的攻击！
严重程度：高
威胁程度：Microsoft RPC为远程管理员权限，MS WINDOWS 2000 RPC为远程拒绝服务
错误类型：Microsoft RPC为设计错误，MS WINDOWS 2000 RPC为输入验证错误
利用方式：Microsoft RPC为服务器模式、MS WINDOWS 2000 RPC为客户机模

Microsoft RPC CVE(CAN) ID：CAN-2003-0352

受影响系统
Microsoft RPC为
　　Microsoft Windows NT? 4.0
　　Microsoft Windows NT 4.0 Terminal Services Edition
　　Microsoft Windows 2000
　　Microsoft Windows XP
　　Microsoft Windows Server? 2003
MS WINDOWS 2000 RPC为
　　Microsoft Windows 2000 sp 3
　　Microsoft Windows 2000 sp 4
　　Microsoft Windows 2000 sp 4+ms03-026

未影响系统
Microsoft RPC 无
MS WINDOWS 2000 RPC 为
　　Microsoft Windows Xp
　　Microsoft Windows Server 2003

详细描述
Microsoft RPC ：
Remote Procedure Call (RPC)调用是WINDOWS使用的一个协议，提供进程间交互通信，允许程序在远程机器上运行任意程序。

RPC在处理通过TCP/IP进行信息交换过程中存在漏洞，问题由于不正确处理畸形消息造成。主要此漏洞影响使用RPC的DCOM接口，监听RPC使能的接口，这个接口处理DCOM对象激活请求。攻击者如果成功利用此漏洞，可以以系统用户权限执行任意代码。

要利用这个漏洞，可以发送畸形请求给远程服务器监听的特定RPC端口。如135、139、445等任何配置了RPC端口的机器。

MS WINDOWS 2000 RPC ：
WINDOWS的RPC服务（RPCSS）存在漏洞，当发送一个畸形包的时候，会导致RPC服务无提示的崩溃掉。由于RPC服务是一个特殊的系统服务，许多应用和服务程序都依赖于他，因为可以造成这些程序与服务的拒绝服务。同时可以通过劫持epmapper管道和135端口的方法来提升权限和获取敏感信息。

技术分析
问题主要发生在RPC服务为DCOM服务提供__RemoteGetClassObject接口上，当传送一个特定包导致解析一个结构的指针参数为NULL的时候， __RemotoGetClassObject 未对此结构指针参数有有效性检查，在后续中就直接引用了此地址（此时为0）做读写操作，这样就导致了内存访问违例，RPC服务进程崩溃。

危害
攻击之后，许多基于RPC的应用无法使用，如使用网络与拨号连接拨号，配置本地连接等，一些基于RPC，DCOM的服务与应用将无法正常运行。由于RPC服务是MS WINDOWS中一个重要的服务，他开放的135端口同时用于DCOM的认证，epmapper管道用于RPC端点的影射，并默认为系统信任，如果一个攻击者能够以低权限在被攻击机器上运行一个程序，在RPC服务崩溃以后，就可以通过劫持epmapper管道和135端口的方法来提升权限或获得DCOM客户端认证的信息。

★★★解决方案★★★
Microsoft RPC为：采用防火墙过滤这些配置了RPC的端口。
以下系统都需要相应补丁，主要针对主流的Win2000和XP用户：

中文2000系统补丁：
http://microsoft.com/downloads/details.aspx?displaylang=zh-cnFamilyID=C8B8A846-F541-4C15-8C9F-220354449117

WindowsXP系统补丁：
http://microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074displaylang=zh-cn

相关信息
最近出现的“流言”病毒就是利用此病毒进行攻击破坏的

金山毒霸反病毒中心于8月3日截获最新蠕虫病毒，命名为“流言”(Worm.SdBotRPC)。蠕虫病毒利用微软操作系统平台上RPC系统服务的漏洞攻击远端系统。

据金山毒霸反病毒工程师介绍：该蠕虫病毒利用RPC的DCOM接口的漏洞，向远端系统上的RPC系统服务所监听的端口发送攻击代码，造成远端系统无法使用RPC服务或系统崩溃。IRC是比较常用的聊天工具，这次它又成为了病毒攻击的对象和帮凶。蠕虫会利用IRC聊天工具在受感染的机器上留后门，等待远端控制者的命令，或通过IRC进行病毒的升级和传播等操作。

金山毒霸已能完全杀查此病毒，请尽快更新你的金山毒霸，或下载专杀工具，来保护您的系统安全。
专杀工具下载： http://www.duba.net/download/3/91.shtml

作者: kylin 时间: 2003-8-13 15:36
标题: 病毒警告！！！
天哪！我的系统重装了三遍，数据都让我FORMAT了，最后还是金山毒霸把它砍了！

作者: oriolelove 时间: 2003-8-13 17:25
标题: 病毒警告！！！
我去打补丁!!

作者: suncon 时间: 2003-8-14 01:27
标题: 病毒警告！！！
病毒警告！！！
目前**客服已经接到很多用户的报修，反映winXP系统不断重起。经过查实，是一种新的病毒。

新型病毒出现NT构架用户注意

昨天晚上一种新型的蠕虫病毒迅速在网络上流传开来。截至目前为止多数没有安装防火墙且通霄达旦开机的NT构架用户，都已经遭受的此病毒的攻击。

新型病毒的名称为 W32.Blaster.Worm 之所以能够如此迅速的在网络上流传和感染，是由于此病毒利用了NT构架内Remote Procedure Call (RPC)服务的漏洞来进行攻击的。

目前为止，可能受到攻击的系统包括 Windows 2000/XP 以及 Windows Server 2003。

病毒利用的端口包括

TCP Port 135, DCOM RPC
UDP Port 69, TFTP

目前得到的各种系统的中毒症状如下。

Windows 2000：复制/粘贴无效、svchost.exe服务不断报错、一些硬件加速的功能无法调用、无法拖拽、页面无法浏览等。

Windows XP：系统自动重新启动。

如果有上述症状建立立即安装如下补丁：

Win2000 中文版：

http://download.microsoft.com/do ... B823980-x86-CHS.exe

Win2000 英文版：

http://download.microsoft.com/do ... B823980-x86-ENU.exe

Windows XP 中文版：

http://download.microsoft.com/do ... B823980-x86-CHS.exe

Windows XP 英文版：

http://download.microsoft.com/do ... B823980-x86-ENU.exe

未尽陈列的系统用户我们建议立即登陆Windows Update来进行升级更新。我们建议所有Windows 2000/XP 以及 Windows Server 2003系统的用户立即安装此安全补丁。

若XP用户时常重新启动无法正常安装补丁可以通过命令 shutdown -a 来暂时缓解重起症状。开始＝》运行＝》shutdown -a

同时打开资源管理器检索一下是否有 msblast.exe 在运行，若有先在进程中删除再安装补丁。

作者: suncon 时间: 2003-8-14 05:53
标题: 病毒警告！！！
新型病毒出现NT构架用户注意
昨天晚上一种新型的蠕虫病毒迅速在网络上流传开来。截至目前为止多数没有安装防火墙且通霄达旦开机的NT构架用户，都已经遭受的此病毒的攻击。

新型病毒的名称为 W32.Blaster.Worm 之所以能够如此迅速的在网络上流传和感染，是由于此病毒利用了NT构架内Remote Procedure Call (RPC)服务的漏洞来进行攻击的。

目前为止，可能受到攻击的系统包括 Windows 2000/XP 以及 Windows Server 2003。

病毒利用的端口包括

TCP Port 135, DCOM RPC
UDP Port 69, TFTP

目前得到的各种系统的中毒症状如下。

Windows 2000：复制/粘贴无效、svchost.exe服务不断报错、一些硬件加速的功能无法调用、无法拖拽、页面无法浏览等。

Windows XP：系统自动重新启动。

如果有上述症状建立立即安装如下补丁：

Win2000 中文版：

http://download.microsoft.com/download/2/8/1/281c0df6-772b-42b0-9125-6858b759e977/Windows2000-KB823980-x86-CHS.exe

Win2000 英文版：

http://download.microsoft.com/download/0/1/f/01fdd40f-efc5-433d-8ad2-b4b9d42049d5/Windows2000-KB823980-x86-ENU.exe

Windows XP 中文版：

http://download.microsoft.com/download/a/a/5/aa56d061-3a38-44af-8d48-85e42de9d2c0/WindowsXP-KB823980-x86-CHS.exe

Windows XP 英文版：

http://download.microsoft.com/download/9/8/b/98bcfad8-afbc-458f-aaee-b7a52a983f01/WindowsXP-KB823980-x86-ENU.exe

未尽陈列的系统用户我们建议立即登陆Windows Update来进行升级更新。我们建议所有Windows 2000/XP 以及 Windows Server 2003系统的用户立即安装此安全补丁。

若XP用户时常重新启动无法正常安装补丁可以通过命令 shutdown -a 来暂时缓解重起症状。开始＝》运行＝》shutdown -a

同时打开资源管理器检索一下是否有 msblast.exe 在运行，若有先在进程中删除再安装补丁。

　

其他信息：

赛门铁克公司公告

微软补丁页面

检测你的系统

　

请注意，以上措施只是挽救已将崩溃的系统，修正病毒利用的系统漏洞。但是病毒并没有清除。请各位用户在安装好补丁之后，立即安装防毒软件或升级已安装病毒软件的最新病毒库，并全面检测你的系统以确保能够清楚残留在系统中的病毒。

手动清除方法：

1. 开始＝》运行＝》taskmgr，启动任务管理器。在其中查找 msblast.exe 进程，找到后在进程上单击右键，选择“结束进程”，点击“是”。

2. 检查系统的 %systemroot%system32 目录下（Win2K一般是C:WINNTSystem32）是否存在 msblast.exe 文件，如果有，删除它。
注意－必须先结束msblast.exe在系统中的进程才可以顺利的删除它。

3. 开始＝》运行＝》regedit，启动注册表编辑器。在注册表中找到 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun ,
删除其下的“windows auto update=msblast.exe”键值。

4. 在DOS窗口打入 netstat -an 来查看是否还有病毒在快速的向外部发送packets。

这样可以清除蠕虫病毒在系统中的驻留，不过仍然建议大家使用正版的杀毒软件对系统进行全面的检测，以求万无一失。

作者: suncon 时间: 2003-8-14 05:54
标题: 病毒警告！！！
有关该修补程序的附加信息
安装平台：

Windows NT 4.0 修补程序可在运行 Service Pack 6a 的系统上安装。
Windows NT 4.0 Terminal Server Edition 修补程序可在运行 Windows NT 4.0 Terminal Server Edition Service Pack 6 的系统上安装。
Windows 2000 修补程序可在运行 Windows 2000 Service Pack 3 或 Service Pack 4 的系统上安装。
Windows XP 修补程序可在运行 Windows XP Gold 或 Service Pack 1 的系统上安装。
Windows Server 2003 修补程序可在运行 Windows Server 2003 Gold 的系统上安装。
包括在将来的 Service Pack 中：此问题的修补程序将包括在 Windows 2000 Service Pack 5、Windows XP Service Pack 2 和 Windows Server 2003 Service Pack 1 中。

是否需要重新启动：是
修补程序能否卸载：是
替代修补程序：否

验证修补程序安装：

Windows NT 4.0：
要验证计算机上是否已安装修补程序，请确认知识库文章 823980 中的文件清单上列出的所有文件是否均存在于系统中。
Windows NT 4.0 Terminal Server Edition：
要验证计算机上是否已安装修补程序，请确认知识库文章 823980 中的文件清单上列出的所有文件是否均存在于系统中。
Windows 2000：
要验证计算机上是否已安装修补程序，请确认计算机上是否已创建以下注册表项：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB823980。
要验证个别的文件，请使用知识库文章 823980 中的文件清单提供的日期/时间和版本信息，确认文件存在于系统中。

Windows XP：
要验证计算机上是否已安装修补程序，请确认计算机上是否已创建以下注册表项：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB823980。
要验证个别的文件，请使用知识库文章 823980 中的文件清单提供的日期/时间和版本信息，确认文件存在于系统中。

Windows Server 2003：
要验证计算机上是否已安装修补程序，请确认计算机上是否已创建以下注册表项：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Window Server 2003\SP1\KB823980。
要验证个别的文件，请使用知识库文章 823980 中的文件清单提供的日期/时间和版本信息，确认文件存在于系统中。

作者: suncon 时间: 2003-8-14 09:44
标题: 病毒警告！！！
http://www.sm163.com/rfcbug/Duba_Sdbot.exe
类型：专杀工具
版本： 2003.8.12.2
平台： Windows 9x/Windows 2k
语言：中文
性质：免费
大小： 42.5K
更新时间： 2003-08-03

工具介绍：
　　金山毒霸反病毒中心于8月3日截获最新蠕虫病毒，命名为“流言”(Worm.SdBotRPC)。蠕虫病毒利用微软操作系统平台上RPC系统服务的漏洞正在大规模传播。

　　据金山毒霸反病毒工程师介绍：该蠕虫病毒利用RPC的DCOM接口的漏洞，向远端系统上的RPC系统服务所监听的端口发送攻击代码，从而达到传播的目的。受感染的系统向。IRC是比较常用的聊天工具，这次它又成为了病毒攻击的对象和帮凶。蠕虫会利用IRC聊天工具在受感染的机器上留后门，等待远端控制者的命令，或是通过IRC进行病毒的升级等操作

欢迎光临光电工程师社区 (http://bbs.oecr.com/)