| 枫林在线论坛>>信息安全 [管理模式] [快速回复] [推荐给朋友] |
| [85307] 主题: 支持部门安全响应小组警告-最新病毒:W32.Blaster.worm |
| 作者: bathory |
标题:  支持部门安全响应小组警告-最新病毒:W32.Blaster.worm[转载]
|
|
| 昵称: muttoooooooon |
来自: 61.171.*.* 
|
|
| 经验值: 17991 | 发贴时间: 2003年08月12日 15:48:51 | |
| 等级: 博大精深 | 长度: 4078字 | |
|
发信人: melchior (练习,这个城市没有你), 信区: Hardware
标 题: 一个蠕虫,可能会造成频繁重启 发信站: 日月光华 (2003年08月12日14:19:05 星期二) 支持部门安全响应小组警告-最新病毒:W32.Blaster.worm 级别: 严重 日期: 二零零三年,八月 十一日 受影响产品: Windows XP, Windows 2000, Windows Server 2003, Windows NT 4.0, N T 4.0 Terminal Services Edition 关于此警告: 微软产品支持部门安全小组发布此警告以通知用户一个新发现的蠕虫病毒W32.Blaster. Wo rm。此病毒正在传播之中。此病毒也被称为W32/Lovsan.worm (McAfee),WORM_MSBLA ST .A (Trendmicro),Win32.Posa.Worm (Computer Associates)。 相应的行动,例如 安 装安全补丁MS03-026能够防止计算机被感染。 如果您已经在今天之前安装了安全补丁MS03-026,那么您的计算机已经被保护,不用做 任 何其他动作。 攻击影响:通过开放的RPC端口传播。计算机意外重新启动或者mblast.exe存在于系统之 中 。 技术细节: 此病毒扫描随机IP地址段,通过TCP端口135寻找受影响的系统。此病毒利用 D COM RPC 漏洞。此漏洞已被安全补丁MS03-026解决。 当病毒代码被送至受影响系统,它会通过TFTP从一个远端系统下载并执行MSBLAST.EXE。 一 旦执行,病毒生成注册表键值: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "windo ws auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill 病毒症状:一部分用户可能感觉不到任何症状。一个典型的症状是没有用户操作的情况 下 ,系统每隔几分钟重新启动。用户可能会看到: - 异常的 TFTP* 文件的存在 - 文件msblast.exe在WINDOWS SYSTEM32目录中存在 为了检测病毒的存在,您可以在WINDOWS SYSTEM32目录中查找msblast.exe或者从您的防 病 毒软件提供商处下载最新的防病毒软件的病毒数据库并扫描您的计算机。 以下防病毒软件提供商参与微软Virus Information Alliance (VIA)。从以下网站可以 得 到更多此病毒的细节: Network Associates: http://us.mcafee.com/virusInfo/default.asp?id=descripti on &virus_k=100547 Trend Micro: http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VNam e= WORM_MSBLAST.A Symantec: http://securityresponse.symantec.com/avcenter/venc/data/w32.blaste r. worm.html Computer Associates: http://www3.ca.com/virusinfo/virus.aspx?ID=36265 如果您想了解微软Virus Information Alliance,请访问以下链接:http://www.micro so ft.com/technet/security/virus/via.asp 请联系您的防病毒软件提供商以获得更多关于此病毒的细节。 预防: 开启Internet连接防火墙(Windows XP 或 Windows Server 2003) 或使用第三方 防 火墙关闭TCP端口135,139,445和593;及UDP端口69 (TFTP) for zombie bits downlo ad 和 TCP端口4444 for remote command shell。开启Internet连接防火墙,请参照: ht tp://support.microsoft.com/?id=283673 1. 在控制面板中,打开“网络连接”。 2. 右键点击需要开启Internet连接防火墙的连接并点击“属性”。 3. 在“高级”页上,选择Internet连接防火墙的选项。 此蠕虫利用了一个早先公布的安全漏洞来作为感染手段。因此,用户必须保证计算机已 经 安装了安全补丁MS03-026。http://www.microsoft.com/technet/security/bulletin/M S0 3-026.asp. (中文版:http://www.microsoft.com/china/security/Bulletins/MS03-0 26 .asp) 您可以通过Windows Update http://windowsupdate.microsoft.com来安装此补丁 。 像通常一样,请确保您的防病毒软件拥有最新的病毒库用来查杀病毒及它们的变体。 恢复:建议您把感染的机器完全重新安装以防止尚未发现的安全隐患。请参看Cert Adv is ory: Steps for Recovering from a UNIX or NT System Compromise. http://www.cert.o rg /tech_tips/win-UNIX-system_compromise.html 更多关于恢复的信息可以从您的防病毒软件提供商得到。 相关的微软安全通告: http://www.microsoft.com/technet/security/bulletin/MS03- 02 6.asp 相关的知识库文章: http://support.microsoft.com/?kbid=826955 此文章将在24小时内发布。 相关链接: http://www.microsoft.com/security/incident/blast.asp 如果您对此安全警告有任何疑问,请联系您的微软客户代表。如果您在美国,也可致电 1 -866-727-2338 (1-866-PCSafety)。如果您在其它国家,也可以联系当地的微软机构。 您 也可以从微软病毒新闻组获得关于病毒的支持。news://msnews.microsoft.com/micros of t.public.security.virus. 支持部门安全响应小组 |
|
|
========== * * * * * ==========
|
| 作者: Catcherlk |
标题:  Re: 支持部门安全响应小组警告-最新病毒:W32.Blaster.worm
|
|
| 昵称: Cannavaro |
来自: 218.242.*.*
|
|
| 经验值: 21588 | 发贴时间: 2003年08月12日 19:13:51 | |
| 等级: 登峰造极 | 长度: 24字 | |
|
|
Tmd。
我中午中招了。 |
|
|
========== * * * * * ==========
|
| 作者: xajhgys2 |
标题:  Re: 支持部门安全响应小组警告-最新病毒:W32.Blaster.worm
|
|
| 昵称: |
来自: 61.165.*.*
|
|
| 经验值: 86 | 发贴时间: 2003年08月12日 20:52:16 | |
| 等级: 初来乍练 | 长度: 62字 | |
|
|
哈哈,还好学校的机器我用WINME,今天开了一天了,啥事没有,一切正常! |
|
|
========== * * * * * ==========
|
 Top
|
||