今天是:
  • 澳门皇家娱乐官网: www.68399.com >> 桂医要闻 >> 正文

    桂医要闻

    ccert关于w32.blaster.worm蠕虫的公告

    来源:网络中心 编辑: www.68399.com :2003-10-25 阅读次数:【字体 |



     ccert公告编号:2003-016

      影响系统: windows 2000,windows xp / windows 2003

      cve参考: can-2003-0352

      mcafee 命名为:w32/lovsan.worm

      简单描述:

      w32.blaster.worm 是一种利用dcom rpc 漏洞进行传播的蠕虫,传播能力很强。详细描述请参照microsoft security bulletin ms03-026感染蠕虫可能导致系统不稳定,有可能造成系统崩溃 ,它扫描端口号是tcp/135, 传播成功后他会利用tcp/4444和udp 69端口下载并运行它的代码程序msblast.exe.这个蠕虫还将对windowsupdate.com进行拒绝服务攻击。这样做的目的是为了不能使您及时地得到这个漏洞的补丁

      ccert正在分析蠕虫的传播机理。


      网络控制方法:

      如果您不需要应用这些端口来进行服务,为了防范这种蠕虫,你应该在防火墙上阻塞tcp port 4444 , 和下面的端口:

      tcp 4444 蠕虫开设的后门端口,用于远程控制
      udp port 69, 用于文件下载
      tcp port 135, MicroSoft:dcom rpc


      计算机处理办法:

      蠕虫攻击不成功可能导致系统出现了不正常,比如拷贝、粘贴功能不工作,rpc 服务停止;建议你重新启动计算机,立即打补丁(下载地址见下文);

      如果你的系统被感染了,系统可能出现如下特征:

      1. 被重启动;

      2. 用netstat 可以看到大量tcp 135端口的扫描;

      3. 系统中出现文件: %windir%system32msblast.exe

      4. 系统工作不正常,比如拷贝、粘贴功能不工作,iis服务启动异常等;


      手动删除办法:


      1. 检查、并删除文件: %windir%system32msblast.exe

      2. 打开任务管理器,停止以下进程 msblast.exe .


      3. 进入注册表(“开始->运行:regedit)

      找到键值:hkey_local_machinesoftwaremicrosoftwindowscurrentversion un

      在右边的栏目, 删除下面键值:

      "windows auto update"="msblast.exe"

      4. 给系统打补丁(否则很快被再次感染)




      补丁下载


      cernet:下载

      windows 2000补丁   windows xp 补丁


      www.68399.com补丁信息请参见: http://www.microsoft.com/technet/security/bulletin/ms03-026.asp


      请关注ccert主页和邮件列表:

      http://www.ccert.edu.cn
      advisory@ccert.edu.cn


      其他参考信息


      1、http://www.securityfocus.com/news/6689

      2、http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ms03-026.asp

      3、http://www.securityfocus.com/columnists/174

      4、http://isc.sans.org/diary.html?date=2003-08-11.



       中国教育和科研计算机网紧急响应组(ccert)
    XML 地图 | Sitemap 地图