S
sky_zhao
Unregistered / Unconfirmed
GUEST, unregistred user!
各位富翁们注意“冲击波”病毒预警信息
据深圳市公安局公共信息网络安全监察处发出的紧急通知,一种名为“冲击波”的计算机病毒目前在互联网上传播,该病毒可能会对计算机用户造成较大危害,请各有关单位采取紧急措施加强防范。
“冲击波”病毒预警信息
据深圳市公安局公共信息网络安全监察处发出的紧急通知,一种名为“冲击波”的计算机病毒目前在互联网上传播,该病毒可能会对计算机用户造成较大危害,请各有关单位采取紧急措施加强防范。该病毒的有关信息如下:
病毒类型: 特洛伊木马程序;
感染的操作系统:Windows 2000,Windows NT ,Windows XP等NTFS格式的系统。
病毒名称:“冲击波”又名“流言” “仇恨者”(WORM_MSBLAST.A、Worm.SdBotRPC),
病毒描述:
该黑客程序利用的是微软的操作系统漏洞MS03-026 ,这个漏洞存在于Microsoft的DCOM RP中,黑客程序分后门程序和黑客工具两部分。黑客可以通过该漏洞非法入侵他人的机器,安装后门程序。
该蠕虫病毒利用RPC的DCOM接口的漏洞,向远端系统上的RPC系统服务所监听的端口发送攻击代码,造成远端系统无法使用RPC服务或系统崩溃。IRC是比较常用的聊天工具,这次它又成为了病毒攻击的对象和帮凶。蠕虫会利用IRC聊天工具在受感染的机器上留后门,等待远端控制者的命令,或通过IRC进行病毒的升级和传播等操作。
感染后会修改注册表文件,并在Winnt、%Windows%/System32、Windows等目录下生成msblast.exe。
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/
CurrentVersion/Run,
攚indows auto update" = MSBLAST.EXE
发作时间为月份从1至8月中16日至31日,以及九月至十二月的任意一天。
如不能下载补丁的用户,请用网络防火墙关闭“135 139 445”三个端口,以防止病毒的攻击。
? 解决方法:
??我们提醒:请赶快到以下地址下载微软的补丁程序,避免此漏洞带来的危害:
目前Microsoft已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
Windows NT 4.0 Server
http://microsoft.com/downloads/deta...BF-DF77A0B9303F
Windows NT 4.0 Terminal Server Edition
http://microsoft.com/downloads/deta...&displaylang=en
Windows 2000
http://microsoft.com/downloads/deta...&displaylang=en
Windows XP 32 位版本
http://microsoft.com/downloads/deta...&displaylang=en
Windows XP 64 位版本
http://microsoft.com/downloads/deta...&displaylang=en
Windows Server 2003 32 位版本
http://microsoft.com/downloads/deta...&displaylang=en
Windows Server 2003 64 位版本
http://microsoft.com/downloads/deta...&displaylang=en
??说明:可能个别盗版Windows XP系统不能正常打上补丁,Windows 2000操作系统必须升级SP2以上版本才可安装补丁。
??相关参考:http://www.microsoft.com/china/tech...in/MS03-026.asp
[red]如何清除[/red]
WORM_RPCSDBOT.A信息以及解决方案
病毒解决方案
手动清除步骤
启动到安全模式
Windows 98/Me
a. 重启您的计算机
??????b. 在按住CTRL键直至出现Windows 98启动菜单
??????c. 选择 Safe Mode 选项并按回车键
Windows XP
a. 重启您的计算机.
??????b. 出现提示时按F8 键
??????c. 如果Windows XP Professional启动时没有出现选择操作系统的菜单,请重启您的系统
??????d. 系统完成自检后请按F8键
??????e. 从Windows Advanced Options菜单中选择 Safe Mode 选项并按回车键
Windows 2000
a. 重启您的计算机
??????b. 当屏幕底端出现Starting Windows 栏时按F8键
??????c. 从Windows Advanced Options菜单中选择 Safe Mode 选项并按回车键
从注册表中删除自启动项目 删除注册表中的自启动项目可以阻止恶意程序在系统启动时运行
1. 单击 开始>运行, 输入 Regedit, 然后按回车键打开注册表管理器
??????2. 在左边的列表中双击以下项目:HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
??????3. 在右边的列表中查找并删除以下项目:NdplDeamon = "winlogin.exe"
??????4. 在左边的列表中双击以下项目:
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
??????5. 在右边的列表中查找并删除以下项目:
winlogon = "winlogin.exe"
??????6. 在左边的列表中双击以下项目:
HKEY_CURRENT_USER>Software>Microsoft>
Windows>CurrentVersion>Runonce
??????7. 在右边的列表中查找并删除以下项目:
winlogon = "winlogin.exe"
??????8. Windows NT, 2000, XP以及的系统, 双击注册表编辑器左边列表中以下项目:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT> CurrentVersion>Winlogon
??????9. 在右边的列表中查找并删除以下项目:
Shell= "explorer.exe winlogin.exe"
??????10. 关闭注册表编辑器
删除系统文件中的自启动项目
??此蠕虫在运行Windows 95, 98, 和 ME的平台上会修改系统文件,使得系统在启动时执行 蠕虫程序。这些项目在系统启动时必须被删除。
1. 单击 开始>运行, 输入 SYSTEM.INI, 然后按回车键打开SYSTEM.INI
??????2. 在 [boot] 小节下面,查找以下列开始的行
shell = explorer.exe
??????3. 在同一行中,删除蠕虫的文件名称
winlogin.exe
??????4. 关闭SYSTEM.INI并保存
??????5. 重启您的系统
附加Windows ME/XP 清除指示
??应用补丁微软在以下连接发布的补丁程序:Microsoft Security Bulletin MS03-026
病毒详情
??安装 在运行时, 蠕虫在Windows系统文件夹下生成如下文件:
winlogin.exe· ?yuetyutr.dll
??WINLOGIN.EXE是该蠕虫的拷贝, 而YUEYUTR.DLL则是该蠕虫用以进行传播的组件。YUEYUTR.DLL也被用于将蠕虫插入到EXPLORER.EXE 的进程,从而达到常驻内存的目的。
??在运行时,该蠕虫会在注册表中建立如下自启动项目以使得系统启动时自身能得到执行:
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Runoncewinlogon = "winlogin.exe"
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunNdplDeamon = "winlogin.exe"
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Runwinlogon = "winlogin.exe"
??基于Windows NT的系统还将建立如下注册表项目:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/WinlogonShell = "explorer.exewinlogin.exe"
Windows 95, 98, 以及 ME系统,系统文件SYSTEM.INI 也会做如下修改:
[boot]?shell = explorer.exe winlogin.exe
漏洞利用
??该蠕虫利用了RPC DCOM缓冲溢出漏洞, 此缓冲溢出漏洞可以允许一个攻击者在目标机器上获得完全的权限并且可以执行任意的代码。
RPC DCOM缓冲溢出漏洞的详细信息, 请访问以下微软网页:Microsoft Security Bulletin MS03-026
网络感染
??为感染在相同网络中具有漏洞的系统,蠕虫首先打开端口4444,在这个端口上运行一个远程shell。然后建立一个线程模拟Trivial FTP服务器。
??接着向目标系统发出指令,通过远程shell,下载WINLOGIN.EXE。该模拟的TFTP服务器将允许这样的下载。
??最后,蠕虫发出指令执行目标机器中刚下载的文件,就此蠕虫在远程主机上开始了一个新的生命周期。
其他详细内容
??此蠕虫使用了一个SDBOT的变种,一个可配置的IRC bot。这个IRC bot 是一个后门程序,可连接到特定的IRC服务器并使用随机产生的昵称加入特定的频道。
??该bot可以处理以IRC消息形式发送的命令,使得被感染的系统受到威胁。
据深圳市公安局公共信息网络安全监察处发出的紧急通知,一种名为“冲击波”的计算机病毒目前在互联网上传播,该病毒可能会对计算机用户造成较大危害,请各有关单位采取紧急措施加强防范。
“冲击波”病毒预警信息
据深圳市公安局公共信息网络安全监察处发出的紧急通知,一种名为“冲击波”的计算机病毒目前在互联网上传播,该病毒可能会对计算机用户造成较大危害,请各有关单位采取紧急措施加强防范。该病毒的有关信息如下:
病毒类型: 特洛伊木马程序;
感染的操作系统:Windows 2000,Windows NT ,Windows XP等NTFS格式的系统。
病毒名称:“冲击波”又名“流言” “仇恨者”(WORM_MSBLAST.A、Worm.SdBotRPC),
病毒描述:
该黑客程序利用的是微软的操作系统漏洞MS03-026 ,这个漏洞存在于Microsoft的DCOM RP中,黑客程序分后门程序和黑客工具两部分。黑客可以通过该漏洞非法入侵他人的机器,安装后门程序。
该蠕虫病毒利用RPC的DCOM接口的漏洞,向远端系统上的RPC系统服务所监听的端口发送攻击代码,造成远端系统无法使用RPC服务或系统崩溃。IRC是比较常用的聊天工具,这次它又成为了病毒攻击的对象和帮凶。蠕虫会利用IRC聊天工具在受感染的机器上留后门,等待远端控制者的命令,或通过IRC进行病毒的升级和传播等操作。
感染后会修改注册表文件,并在Winnt、%Windows%/System32、Windows等目录下生成msblast.exe。
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/
CurrentVersion/Run,
攚indows auto update" = MSBLAST.EXE
发作时间为月份从1至8月中16日至31日,以及九月至十二月的任意一天。
如不能下载补丁的用户,请用网络防火墙关闭“135 139 445”三个端口,以防止病毒的攻击。
? 解决方法:
??我们提醒:请赶快到以下地址下载微软的补丁程序,避免此漏洞带来的危害:
目前Microsoft已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
Windows NT 4.0 Server
http://microsoft.com/downloads/deta...BF-DF77A0B9303F
Windows NT 4.0 Terminal Server Edition
http://microsoft.com/downloads/deta...&displaylang=en
Windows 2000
http://microsoft.com/downloads/deta...&displaylang=en
Windows XP 32 位版本
http://microsoft.com/downloads/deta...&displaylang=en
Windows XP 64 位版本
http://microsoft.com/downloads/deta...&displaylang=en
Windows Server 2003 32 位版本
http://microsoft.com/downloads/deta...&displaylang=en
Windows Server 2003 64 位版本
http://microsoft.com/downloads/deta...&displaylang=en
??说明:可能个别盗版Windows XP系统不能正常打上补丁,Windows 2000操作系统必须升级SP2以上版本才可安装补丁。
??相关参考:http://www.microsoft.com/china/tech...in/MS03-026.asp
[red]如何清除[/red]
WORM_RPCSDBOT.A信息以及解决方案
病毒解决方案
手动清除步骤
启动到安全模式
Windows 98/Me
a. 重启您的计算机
??????b. 在按住CTRL键直至出现Windows 98启动菜单
??????c. 选择 Safe Mode 选项并按回车键
Windows XP
a. 重启您的计算机.
??????b. 出现提示时按F8 键
??????c. 如果Windows XP Professional启动时没有出现选择操作系统的菜单,请重启您的系统
??????d. 系统完成自检后请按F8键
??????e. 从Windows Advanced Options菜单中选择 Safe Mode 选项并按回车键
Windows 2000
a. 重启您的计算机
??????b. 当屏幕底端出现Starting Windows 栏时按F8键
??????c. 从Windows Advanced Options菜单中选择 Safe Mode 选项并按回车键
从注册表中删除自启动项目 删除注册表中的自启动项目可以阻止恶意程序在系统启动时运行
1. 单击 开始>运行, 输入 Regedit, 然后按回车键打开注册表管理器
??????2. 在左边的列表中双击以下项目:HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
??????3. 在右边的列表中查找并删除以下项目:NdplDeamon = "winlogin.exe"
??????4. 在左边的列表中双击以下项目:
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
??????5. 在右边的列表中查找并删除以下项目:
winlogon = "winlogin.exe"
??????6. 在左边的列表中双击以下项目:
HKEY_CURRENT_USER>Software>Microsoft>
Windows>CurrentVersion>Runonce
??????7. 在右边的列表中查找并删除以下项目:
winlogon = "winlogin.exe"
??????8. Windows NT, 2000, XP以及的系统, 双击注册表编辑器左边列表中以下项目:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT> CurrentVersion>Winlogon
??????9. 在右边的列表中查找并删除以下项目:
Shell= "explorer.exe winlogin.exe"
??????10. 关闭注册表编辑器
删除系统文件中的自启动项目
??此蠕虫在运行Windows 95, 98, 和 ME的平台上会修改系统文件,使得系统在启动时执行 蠕虫程序。这些项目在系统启动时必须被删除。
1. 单击 开始>运行, 输入 SYSTEM.INI, 然后按回车键打开SYSTEM.INI
??????2. 在 [boot] 小节下面,查找以下列开始的行
shell = explorer.exe
??????3. 在同一行中,删除蠕虫的文件名称
winlogin.exe
??????4. 关闭SYSTEM.INI并保存
??????5. 重启您的系统
附加Windows ME/XP 清除指示
??应用补丁微软在以下连接发布的补丁程序:Microsoft Security Bulletin MS03-026
病毒详情
??安装 在运行时, 蠕虫在Windows系统文件夹下生成如下文件:
winlogin.exe· ?yuetyutr.dll
??WINLOGIN.EXE是该蠕虫的拷贝, 而YUEYUTR.DLL则是该蠕虫用以进行传播的组件。YUEYUTR.DLL也被用于将蠕虫插入到EXPLORER.EXE 的进程,从而达到常驻内存的目的。
??在运行时,该蠕虫会在注册表中建立如下自启动项目以使得系统启动时自身能得到执行:
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Runoncewinlogon = "winlogin.exe"
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunNdplDeamon = "winlogin.exe"
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Runwinlogon = "winlogin.exe"
??基于Windows NT的系统还将建立如下注册表项目:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/WinlogonShell = "explorer.exewinlogin.exe"
Windows 95, 98, 以及 ME系统,系统文件SYSTEM.INI 也会做如下修改:
[boot]?shell = explorer.exe winlogin.exe
漏洞利用
??该蠕虫利用了RPC DCOM缓冲溢出漏洞, 此缓冲溢出漏洞可以允许一个攻击者在目标机器上获得完全的权限并且可以执行任意的代码。
RPC DCOM缓冲溢出漏洞的详细信息, 请访问以下微软网页:Microsoft Security Bulletin MS03-026
网络感染
??为感染在相同网络中具有漏洞的系统,蠕虫首先打开端口4444,在这个端口上运行一个远程shell。然后建立一个线程模拟Trivial FTP服务器。
??接着向目标系统发出指令,通过远程shell,下载WINLOGIN.EXE。该模拟的TFTP服务器将允许这样的下载。
??最后,蠕虫发出指令执行目标机器中刚下载的文件,就此蠕虫在远程主机上开始了一个新的生命周期。
其他详细内容
??此蠕虫使用了一个SDBOT的变种,一个可配置的IRC bot。这个IRC bot 是一个后门程序,可连接到特定的IRC服务器并使用随机产生的昵称加入特定的频道。
??该bot可以处理以IRC消息形式发送的命令,使得被感染的系统受到威胁。
]