Billy gates, 病毒果然來了!-加國移民-萬維論壇-萬維讀者網（電腦版）

送交者: is4u 2003年08月13日19:25:44 於 [加國移民] 發送悄悄話

The worm contains the following text, which is never displayed:

"I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!!"

Background:
===========

Windows發現史上最嚴重安全漏洞

日前，記者收到一個來自啟明星辰的警告信息，稱其分析並驗證了迄今為止Windows最為嚴重的安全漏洞。藉助這個漏洞，全球互聯網有可能再度遭受大規模的病毒攻擊，其損失將超過幾十億美元。

根據介紹，這個漏洞是由啟明星辰積極防禦實驗室於25日12時30分時正式確認的，這個漏洞存在於所有Windows 2000、Windows XP、Windows 2003 Server的系統中，黑客（或攻擊者）可以通過此漏洞遠程的獲取這些系統的控制權限。藉助此漏洞編寫的蠕蟲病毒程序，極有可能產生成與SQL-SLAMMER類似的巨大破壞力（據不完全統計，SQL-SLAMMER蠕蟲已經在全球造成了幾十億美元的損失），而且可能比SQL-SLAMMER蠕蟲具有更大的破壞力。因為現今所有Windows NT以上的系統都存在此漏洞，不受任何應用服務（如SQL SERVER）的局限，來自黑客與蠕蟲病毒的威脅，將指向所有使用Windows的用戶（包括企業用戶和個人用戶），而不僅是過去的網站服務商。

值得注意的是，這個早在今年7月17日時就已經被Lsd-pl安全組織公布，但其並沒有提供關於此漏洞的詳細資料，只是提到135 端口的DCOM RPC服務有緩衝區溢出漏洞。因此，啟明星辰的這個分析是目前最為詳細的。

來自啟明星辰給外界的郵件中稱，此漏洞不僅僅針對135端口，而且139端口、445端口甚至HTTP，這些所有與DCOM RPC關聯的端口或服務，都存在此漏洞，這樣攻擊者可以使用多種方式來遠程的利用此漏洞。同時，該漏洞也存在使用UDP觸發的可能性，這樣利用此漏洞極有可能產生成與SQL-SLAMMER類似有巨大破壞力的蠕蟲。LSD 的RPC溢出漏洞（MS03-26）其實包含了2個溢出漏洞，一個是本地的，一個是遠程的。他們都是由一個通用接口導致的。

根據介紹，微軟公司發布的，針對此漏洞的補丁程序對於這個漏洞可以進行有效防範，一些安全公司對此發布的補丁程序也可以進行防範。

Forecast
========
電腦蠕蟲周六攻擊視窗

【明報專訊】電腦病毒專家表示，一種新型電腦蠕蟲「 Blaster 」正以高速悄悄感染全球使用視窗 Window XP 或 2000 的電腦，估計至今已有逾 5.7 萬個電腦系統被感染。雖然此蠕蟲病毒不會破壞被感染的電腦，但會於香港時間本周六正午（美國東岸時間周六凌晨零時）奪取受感染電腦的控制權，利用它們群起「襲擊」微軟的軟件更新網站，微軟正研究措施應付。

「 Blaster 」蠕蟲是利用電腦界 3 周前發現的一個微軟視窗 XP 及 2000 保安漏洞，在網上尋找「獵物」及入侵，使用上述兩系統並連接互聯網的電腦（特別是伺服器），可能已在用家不知情下受到感染，另一些電腦伺服器縱能抗拒入侵亦可能會「當機」。暫未知香港有多少電腦曾受蠕蟲攻擊或入侵。

受感染的電腦起初不會出現特殊異狀（檔案一般不會受破壞），但蠕蟲會於美國東岸時間周六零時發作，利用受感染電腦，透過互聯網不斷向微軟的「軟件更新（ update ）網站」提出「服務要求」，務求使網站過分繁忙而癱瘓。微軟表示已留意到該病毒，正採取保護措施。

How to remove
=============

一，病毒特點：msblast病毒來勢兇猛，瀏覽網頁就可傳播，現在已在世界範圍內擴散。
二，中毒現象：系統操作異常關閉，提示RPC錯誤，不停重啟，文件失靈，甚至導致系統崩潰。該病毒還會對微軟的一個升級網站進行拒絕服務攻擊，導致微軟網站堵塞，使用戶無法通過該網站升級系統。在8月16日以後，該病毒還會使被攻擊的系統喪失更新該漏洞補丁的能力。

三，殺毒：

1. 去 http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html 下載 fixblast.exe, 並按指引殺毒。

2下載補丁
去microsoft網站，查找MS03-026, 下載安裝補丁

3. Check RPC Service

In many cases, on both Windows 2000 and XP, changing settings for the Remote Call Procedure (RPC) Service may allow you to connect to the Internet without the computer shutting down. Follow these steps:
Do one of the following:
Windows 2000. Right-click the My Computer icon on the Windows desktop and then click Manage. The Computer Management window opens.
Windows XP. Click the Start button, right-click the My Computer icon, click Manage. The Computer Management window opens.

In the left pane, double-click Services and Applications and then select Services. A list of services appears.
In the right pane, locate the Remote Procedure Call (RPC) service.

CAUTION: There is also a service named Remote Procedure Call (RPC) Locator. Do not confuse the two

Right-click the Remote Procedure Call (RPC) service and click Properties.
Click the Recovery tab.
Using the drop-down lists, change First failure, Second failure, and Subsequent failures to "Restart the Service."
Click Apply and then OK

CAUTION: Make sure that you change these settings back when you have removed the worm

4. Update virus definition file. For Norton, the newest one is 8/11/2003, rev. 19

Related Links
=============
1. http://www.f-secure.com/v-descs/msblast.shtml

2. http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html

3. http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp

**************************************************
If you need help, please post your question below.

IS4U

0%(0)

	實用資訊

回國機票$360起 | 商務艙省$200 | 全球最佳航空公司出爐：海航獲五星
海外華人福利！在線看陳建斌《三叉戟》熱血歸回豪情築夢 高清免費看無地區限制

一周點擊熱帖

更多>>

一周回復熱帖

歷史上的今天：回復熱帖

2002:	Hacker文化簡史(1)序曲 (轉帖)
2002:	Hacker文化簡史(2)早期的黑客 (轉帖)