The worm contains the following text, which is never displayed:

"I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!!"

Background:
===========

Windows发现史上最严重安全漏洞

日前，记者收到一个来自启明星辰的警告信息，称其分析并验证了迄今为止Windows最为严重的安全漏洞。借助这个漏洞，全球互联网有可能再度遭受大规模的病毒攻击，其损失将超过几十亿美元。

根据介绍，这个漏洞是由启明星辰积极防御实验室于25日12时30分时正式确认的，这个漏洞存在于所有Windows 2000、Windows XP、Windows 2003 Server的系统中，黑客（或攻击者）可以通过此漏洞远程的获取这些系统的控制权限。借助此漏洞编写的蠕虫病毒程序，极有可能产生成与SQL-SLAMMER类似的巨大破坏力（据不完全统计，SQL-SLAMMER蠕虫已经在全球造成了几十亿美元的损失），而且可能比SQL-SLAMMER蠕虫具有更大的破坏力。因为现今所有Windows NT以上的系统都存在此漏洞，不受任何应用服务（如SQL SERVER）的局限，来自黑客与蠕虫病毒的威胁，将指向所有使用Windows的用户（包括企业用户和个人用户），而不仅是过去的网站服务商。

值得注意的是，这个早在今年7月17日时就已经被Lsd-pl安全组织公布，但其并没有提供关于此漏洞的详细资料，只是提到135 端口的DCOM RPC服务有缓冲区溢出漏洞。因此，启明星辰的这个分析是目前最为详细的。

来自启明星辰给外界的邮件中称，此漏洞不仅仅针对135端口，而且139端口、445端口甚至HTTP，这些所有与DCOM RPC关联的端口或服务，都存在此漏洞，这样攻击者可以使用多种方式来远程的利用此漏洞。同时，该漏洞也存在使用UDP触发的可能性，这样利用此漏洞极有可能产生成与SQL-SLAMMER类似有巨大破坏力的蠕虫。LSD 的RPC溢出漏洞（MS03-26）其实包含了2个溢出漏洞，一个是本地的，一个是远程的。他们都是由一个通用接口导致的。

根据介绍，微软公司发布的，针对此漏洞的补丁程序对于这个漏洞可以进行有效防范，一些安全公司对此发布的补丁程序也可以进行防范。

Forecast
========
電腦蠕蟲周六攻擊視窗

【 明 報 專 訊 】 電 腦 病 毒 專 家 表 示 ， 一 種 新 型 電 腦 蠕 蟲 「 Blaster 」 正 以 高 速 悄 悄 感 染 全 球 使 用 視 窗 Window XP 或 2000 的 電 腦 ， 估 計 至 今 已 有 逾 5.7 萬 個 電 腦 系 統 被 感 染 。 雖 然 此 蠕 蟲 病 毒 不 會 破 壞 被 感 染 的 電 腦 ， 但 會 於 香 港 時 間 本 周 六 正 午 （ 美 國 東 岸 時 間 周 六 凌 晨 零 時 ） 奪 取 受 感 染 電 腦 的 控 制 權 ， 利 用 它 們 群 起 「 襲 擊 」 微 軟 的 軟 件 更 新 網 站 ， 微 軟 正 研 究 措 施 應 付 。

「 Blaster 」 蠕 蟲 是 利 用 電 腦 界 3 周 前 發 現 的 一 個 微 軟 視 窗 XP 及 2000 保 安 漏 洞 ， 在 網 上 尋 找 「 獵 物 」 及 入 侵 ， 使 用 上 述 兩 系 統 並 連 接 互 聯 網 的 電 腦 （ 特 別 是 伺 服 器 ） ， 可 能 已 在 用 家 不 知 情 下 受 到 感 染 ， 另 一 些 電 腦 伺 服 器 縱 能 抗 拒 入 侵 亦 可 能 會 「 當 機 」 。 暫 未 知 香 港 有 多 少 電 腦 曾 受 蠕 蟲 攻 擊 或 入 侵 。

受 感 染 的 電 腦 起 初 不 會 出 現 特 殊 異 狀 （ 檔 案 一 般 不 會 受 破 壞 ） ， 但 蠕 蟲 會 於 美 國 東 岸 時 間 周 六 零 時 發 作 ， 利 用 受 感 染 電 腦 ， 透 過 互 聯 網 不 斷 向 微 軟 的 「 軟 件 更 新 （ update ） 網 站 」 提 出 「 服 務 要 求 」 ， 務 求 使 網 站 過 分 繁 忙 而 癱 瘓 。 微 軟 表 示 已 留 意 到 該 病 毒 ， 正 採 取 保 護 措 施 。

How to remove
=============

一，病毒特点：msblast病毒来势凶猛，浏览网页就可传播，现在已在世界范围内扩散。
二，中毒现象：系统操作异常关闭，提示RPC错误，不停重启，文件失灵，甚至导致系统崩溃。该病毒还会对微软的一个升级网站进行拒绝服务攻击，导致微软网站堵塞，使用户无法通过该网站升级系统。在8月16日以后，该病毒还会使被攻击的系统丧失更新该漏洞补丁的能力。

三，杀毒：

1. 去 http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html 下载 fixblast.exe, 并按指引杀毒。

2下载补丁
去microsoft网站，查找MS03-026, 下载安装补丁

3. Check RPC Service

In many cases, on both Windows 2000 and XP, changing settings for the Remote Call Procedure (RPC) Service may allow you to connect to the Internet without the computer shutting down. Follow these steps:
Do one of the following:
Windows 2000. Right-click the My Computer icon on the Windows desktop and then click Manage. The Computer Management window opens.
Windows XP. Click the Start button, right-click the My Computer icon, click Manage. The Computer Management window opens.

In the left pane, double-click Services and Applications and then select Services. A list of services appears.
In the right pane, locate the Remote Procedure Call (RPC) service.

CAUTION: There is also a service named Remote Procedure Call (RPC) Locator. Do not confuse the two

Right-click the Remote Procedure Call (RPC) service and click Properties.
Click the Recovery tab.
Using the drop-down lists, change First failure, Second failure, and Subsequent failures to "Restart the Service."
Click Apply and then OK

CAUTION: Make sure that you change these settings back when you have removed the worm

4. Update virus definition file. For Norton, the newest one is 8/11/2003, rev. 19

Related Links
=============
1. http://www.f-secure.com/v-descs/msblast.shtml

2. http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html

3. http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp

**************************************************
If you need help, please post your question below.

IS4U