|
发信人: melchior (练习,这个城市没有你), 信区: Hardware
标 题: 一个蠕虫,可能会造成频繁重启
发信站: 日月光华 (2003年08月12日14:19:05 星期二)
支持部门安全响应小组警告-最新病毒:W32.Blaster.worm
级别: 严重
日期: 二零零三年,八月 十一日
受影响产品: Windows XP, Windows 2000, Windows Server 2003, Windows NT 4.0, NT
4.0 Terminal Services Edition
关于此警告:
微软产品支持部门安全小组发布此警告以通知用户一个新发现的蠕虫病毒W32.Blaster.Wo
rm。此病毒正在传播之中。此病毒也被称为W32/Lovsan.worm (McAfee),WORM_MSBLAST
.A (Trendmicro),Win32.Posa.Worm (Computer Associates)。 相应的行动,例如安
装安全补丁MS03-026能够防止计算机被感染。
如果您已经在今天之前安装了安全补丁MS03-026,那么您的计算机已经被保护,不用做任
何其他动作。
攻击影响:通过开放的RPC端口传播。计算机意外重新启动或者mblast.exe存在于系统之中
。
技术细节: 此病毒扫描随机IP地址段,通过TCP端口135寻找受影响的系统。此病毒利用D
COM RPC 漏洞。此漏洞已被安全补丁MS03-026解决。
当病毒代码被送至受影响系统,它会通过TFTP从一个远端系统下载并执行MSBLAST.EXE。一
旦执行,病毒生成注册表键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "windows auto
update" = msblast.exe I just want to say LOVE YOU SAN!! bill
病毒症状:一部分用户可能感觉不到任何症状。一个典型的症状是没有用户操作的情况下
,系统每隔几分钟重新启动。用户可能会看到:
- 异常的 TFTP* 文件的存在
- 文件msblast.exe在WINDOWS SYSTEM32目录中存在
为了检测病毒的存在,您可以在WINDOWS SYSTEM32目录中查找msblast.exe或者从您的防病
毒软件提供商处下载最新的防病毒软件的病毒数据库并扫描您的计算机。
以下防病毒软件提供商参与微软Virus Information Alliance (VIA)。从以下网站可以得
到更多此病毒的细节:
Network Associates: http://us.mcafee.com/virusInfo/default.asp?id=description
&virus_k=100547
Trend Micro: http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=
WORM_MSBLAST.A
Symantec: http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.
worm.html
Computer Associates: http://www3.ca.com/virusinfo/virus.aspx?ID=36265
如果您想了解微软Virus Information Alliance,请访问以下链接:http://www.microso
ft.com/technet/security/virus/via.asp
请联系您的防病毒软件提供商以获得更多关于此病毒的细节。
预防: 开启Internet连接防火墙(Windows XP 或 Windows Server 2003) 或使用第三方防
火墙关闭TCP端口135,139,445和593;及UDP端口69 (TFTP) for zombie bits download
和 TCP端口4444 for remote command shell。开启Internet连接防火墙,请参照: ht
tp://support.microsoft.com/?id=283673
1. 在控制面板中,打开“网络连接”。
2. 右键点击需要开启Internet连接防火墙的连接并点击“属性”。
3. 在“高级”页上,选择Internet连接防火墙的选项。
此蠕虫利用了一个早先公布的安全漏洞来作为感染手段。因此,用户必须保证计算机已经
安装了安全补丁MS03-026。http://www.microsoft.com/technet/security/bulletin/MS0
3-026.asp. (中文版:http://www.microsoft.com/china/security/Bulletins/MS03-026
.asp) 您可以通过Windows Update http://windowsupdate.microsoft.com来安装此补丁。
像通常一样,请确保您的防病毒软件拥有最新的病毒库用来查杀病毒及它们的变体。
恢复:建议您把感染的机器完全重新安装以防止尚未发现的安全隐患。请参看Cert Advis
ory:
Steps for Recovering from a UNIX or NT System Compromise. http://www.cert.org
/tech_tips/win-UNIX-system_compromise.html
更多关于恢复的信息可以从您的防病毒软件提供商得到。
相关的微软安全通告: http://www.microsoft.com/technet/security/bulletin/MS03-02
6.asp
相关的知识库文章: http://support.microsoft.com/?kbid=826955
此文章将在24小时内发布。
相关链接: http://www.microsoft.com/security/incident/blast.asp
如果您对此安全警告有任何疑问,请联系您的微软客户代表。如果您在美国,也可致电 1
-866-727-2338 (1-866-PCSafety)。如果您在其它国家,也可以联系当地的微软机构。您
也可以从微软病毒新闻组获得关于病毒的支持。news://msnews.microsoft.com/microsof
t.public.security.virus.
支持部门安全响应小组
|
|