+设为首页 +添加到收藏夹
我电脑就这几天,如果一上网络不一会儿就出现下面的东西
WinXp 神洲V4版+sp1
此主题相关图片如下:
http://bbs.dvbbs.net/UploadFile/20038141102241233.jpg
不知道怎么解决啊,不只我这台这样,好几台都这样情况
请各路兄弟帮帮忙
MSBLAST蠕虫安全公告
CNCERT/CC近期发现互联网中一种名为"MSBLAST"的新型蠕虫在蔓延,并且接到北京、天津、山西、辽宁、广东等地很多遭感染用户的报警。国家计算机病毒应急处理中心、CCERT等的报告,也表明此蠕虫的蔓延情况比较严重。同时,8月12日,国外很多CERT组织也反映了同样的情况。
经分析证实该蠕虫利用了7月16日微软公布的MS03-026 Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞。该漏洞影响所有未安装MS06-026补丁的Windows 2000、Windows XP、Windows 2003系统,由于蠕虫会在被攻击的主机中安置后门,并且其传播会导致主机不能正常工作,所以危害很大。
CNCERT/CC强烈建议互联网用户和安全组织重视该蠕虫的危害,加强防范,避免损失。
CNCERT/CC将密切跟踪事件的发展并且及时发布相关资料。
蠕虫名称:
"冲击波"
蠕虫长度:
6,176字节,用LCC-Win32 v1.03编译,upx 1.22压缩,创建时间是2003年8月11日7点21分。解压后11,296字节。
受影响的软件及系统:
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows 2003
感染途径:
1. 蠕虫感染系统后首先检测是否有名为"BILLY"的互斥体存在,如果检测到该互斥体,蠕虫就会退出,如果没有,就创建。
2. 在注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中添加以下键值:windows auto update"="msblast.exe"
以保证每次用户登录的时候蠕虫都会自动运行。
3. 蠕虫还会在本地的UDP/69端口上建立一个tftp服务器,用来向其它受侵害的系统上传送蠕虫的二进制程序msblast.exe。
4. 蠕虫选择目标IP地址的时候会首先选择受感染系统所在子网的IP,然后再按照一定算法随机在互连网上选择目标攻击。
5. 向目标的TCP/135端口发送攻击数据。如果攻击成功,会监听目标系统的TCP/4444端口作为后门,并绑定cmd.exe。然后蠕虫会连接到这个端口,发送tftp命令,回连到发起进攻的主机,将msblast.exe传到目标系统上,然后运行它。
蠕虫检测到当前系统月份是8月之后或者日期是15日之后,也就是说,在1月至8月的16日至该月最后一天,以及九月至十二月的任意一天,就会向微软的更新站点"windowsupdate.com"发动拒绝服务攻击。蠕虫所带的攻击代码来自一个公开发布的攻击代码,当攻击失败时,可能造成没有打补丁的Windows系统RPC服务崩溃,Windows XP系统可能会自动重启。该蠕虫不能成功侵入Windows 2003,但是可以造成Windows 2003系统的RPC服务崩溃,默认情况下,这将使系统重启。
蠕虫代码中还包含以下文本数据:
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!
解决方法:
1.检测是否被蠕虫感染:
1) 检查系统的%systemroot%\system32目录下是否存在msblast.exe文件。
2) 检查注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]键下是否有"windows auto update"="msblast.exe"
3) 在任务管理器中查看是否有msblast.exe的进程。
2.清除蠕虫:
如果发现系统已经被蠕虫感染,可以按照以下步骤手工清除蠕虫:
1) 终止恶意程序
打开Windows任务管理器,在运行的程序清单中查找进程"MSBLAST.EXE",终止该进程的运行。
2) 删除系统目录下的msblast.exe
3) 删除注册表中的自启动项
单击 开始>运行, 输入 Regedit, 然后按 Enter 键打开注册表编辑器。在编辑器左侧面版中依次双击HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run,在右边的列表中查找并删除项目Windows auto update" = MSBLAST.EXE。
3.下载补丁:
登录微软网站,安装RPC漏洞的补丁程序:
http://www.microsoft.com/technet/security/bulletin/MS03-026.asp
或者在本网站下载补丁程序。RPC蠕虫补丁下载 安装补丁后您需要重新启动系统才能使补丁生效,如有可能,请在下载完补丁后断开网络连接再安装补丁。
载补丁:
登录微软网站,安装RPC漏洞的补丁程序:
http://www.microsoft.com/technet/security/bulletin/MS03-026.asp
载补丁:
登录微软网站,安装RPC漏洞的补丁程序:
http://www.microsoft.com/technet/security/bulletin/MS03-026.asp
载补丁:
登录微软网站,安装RPC漏洞的补丁程序:
http://www.microsoft.com/technet/security/bulletin/MS03-026.asp
你应该先看看置顶的帖子,省时省分:)
我在第一时间就把贴子固顶了,大家进来后先看看固顶的贴子哦,别浪费我的一番心血:)
很明显是W32.Blaster.Worm在搞鬼,相关此病毒的文章网上到处都有
下补丁装上就搞定
