|
|
关于自动重启电脑病毒的解决办法.
| |
|
签名要隐晦。
|
||
|
|
||
发表于 2003-8-12 22:38
| 
金山毒霸反病毒中心于8月3日截获最新蠕虫病毒,命名为“流言”(Worm.SdBotRPC)。蠕虫病毒利用微软操作系统平台上RPC系统服务的漏洞攻击远端系统。端口(135、4444、69)
[病毒解决办法]:
1、注册表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下
"windows auto update"="msblast.exe"...删除此项
2、先在任务管理器中将 msblast.exe 进程杀掉,之后将windows安装目录下的system32文件夹下的msblast.exe 删除(有可能无法删除,则直接执行第3步)。
3、点击开始-->设置-->控制面板-->管理工具-->服务-->选择remote procedure call(RPC)并双击-->选中Remote Procedure Call(RPC)服务-->将第一次失败、第二次失败、第三次失败的选项选择为不操作(XP下默认为重启计算机)。
4、下载RPC漏洞补丁,断开网络,重启机器后安装微软补丁。该补丁需要win2000 ServicePack2以上版本,请到下面网址下载:http://www.microsoft.com/china/windows2000/sp2.htm
5、金山毒霸专杀工具:http://www.duba.net/download/othertools/Duba_Sdbot.EXE
6、暂时解决方法:发现等弹出那个框后,说1分钟后重启,趁这个时候,赶紧修改电脑时间,例如:改到一年前,这样他会说还有365d重启。利用这段时间好杀毒。
[注意]:可能个别盗版win XP系统不能正常打上补丁,win2000操作系统必须升级SP2以上版本才可安装补丁。
[详细描述]:
据金山毒霸反病毒工程师介绍:该蠕虫病毒利用RPC的DCOM接口的漏洞,向远端系统上的RPC系统服务所监听的端口发送攻击代码,造成远端系统无法使用RPC服务或系统崩溃。IRC是比较常用的聊天工具,这次它又成为了病毒攻击的对象和帮凶。蠕虫会利用IRC聊天工具在受感染的机器上留后门,等待远端控制者的命令,或通过IRC进行病毒的升级和传播等操作。
金山毒霸反病毒工程师提醒:请赶快到以下地址下载微软的补丁程序,避免此漏洞带来的危害:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp
如果不能下载补丁的用户,请用网络防火墙关闭“135 139 445”三个端口,以防止病毒的攻击。金山毒霸已能完全杀查此病毒,请尽快更新你的金山毒霸,或下载专杀工具,来保护您的系统安全。
“流言”(Worm.MSBlaster)自动关机病毒的分析报告(http://www.duba.net)
[病毒名称]:Wrom.MSBlaster.6176
[病毒类型]:蠕虫
[病毒长度]:6176
[危害级别]:3
[传播速度]:4.5
[技术特征]:该病毒利用RPC漏洞进行快速传播。病毒程序才用UPX压缩,仅有6K。较小的体积是能让其在网络上快速传播的重要原因之一。
[病毒行为]:
1、添加如下注册表键值:"windows auto update"="msblast.exe"在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下,以使蠕虫可以开机自动运行;
2、攻击病毒自我生成的IP地址;
3、攻击RPC服务默认端口,为传播自已做准备;
4、监听UDP 69端口,当有服务请求,就发送Msblast.exe文件
5、发送命令到远端计算机(被攻击机器), 以使其连接被感染计算机(本地计算机)下载并运行Msblast.exe;
6、如果当前月份大于8月,或当前日期大于15号,对"Windowsupdate.com"实施DoS攻击。
7、该蠕虫包含有如下不会被显示的字符串:
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!
Remote Procedure Call(RPC)是Windows操作系统使用的一种远程过程调用协议,RPC协议提供一种进程间的交互通信机制,它允许本地机器上的程序进程无缝的在远程系统中运行代码。该协议的前身是OSF RPC协议,但是增加了微软自己的一些扩展。
最近发现部分RPC在使用TCP/IP协议处理信息交换时不正确的处理畸形的消息导致存在一个安全漏洞。该漏洞影响使用RPC的DCOM接口,这个接口用来处理由客户端机器发送给服务器的DCOM对象激活请求(如UNC路径)。如果攻击者成功利用了该漏洞将获得本地系统权限,他将可以在系统上运行任意命令,如安装程序、查看或更改、删除数据或者是建立系统管理员权限的帐户等。要利用这个漏洞,攻击者需要发送特殊形式的请求到远程机器上的135端口.
[影响系统]:
Microsoft Windows NT 4.0
Microsoft Windows NT 4.0 Terminal Services Edition
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server? 2003
[风险]:高
[危害描述]:远程进入系统执行任意代码
|
|
|
发表于 2003-8-12 22:44
| |
|
|
|
签名要隐晦。
|
|
|
|
|
|
[img]http://photo.uland.com/photo/class/1/1674/1674933/3626825448.JPG[/img]
|
|
发表于 2003-8-13 12:34
| |
|
|
|
[URL=http://www.blogcn.com/user7/bamboo_wing/main.asp] 輪囬。
沉迷。[/URL]
|
|
|
|
|
|
没有个性,所以没有签名
|
|
|
咔哇咿
( Extreme。 )
|
|
|
|
|
|
[img]http://photo.uland.com/photo/class/1/1674/1674933/3626825448.JPG[/img]
|
|
|
|
| |
|
签名要隐晦。
|
||
06的发言:
老哥,
杀了,
可是我今天下午上,
又这样!