[公告]新型蠕虫病毒W32.Blaster.Worm（冲击波）防治方法！！！

寒鹤影 · 发表于 2003-8-13 13:41

昨天晚上一种新型的蠕虫病毒迅速在网络上流传开来。截至目前为止多数没有安装防火墙且通霄达旦开机的NT构架用户，都已经遭受的此病毒的攻击。
新型病毒的名称为 W32.Blaster.Worm 之所以能够如此迅速的在网络上流传和感染，是由于此病毒利用了NT构架内Remote Procedure Call (RPC)服务的漏洞来进行攻击的。
目前为止，可能受到攻击的系统包括 Windows 2000/XP 以及 Windows Server 2003。
病毒利用的端口包括
TCP Port 135, "DCOM RPC"
UDP Port 69, "TFTP"
目前得到的各种系统的中毒症状如下。
Windows 2000：复制/粘贴无效、svchost.exe服务不断报错、一些硬件加速的功能无法调用、无法拖拽、页面无法浏览等。
Windows XP：系统自动重新启动。
如果有上述症状建立立即安装如下补丁：
Win2000 中文版：
http://download.microsoft.com/download/2/8/1/281c0df6-772b-42b0-9125-6858b759e977/Windows2000-KB823980-x86-CHS.exe
Win2000 英文版：
http://download.microsoft.com/download/0/1/f/01fdd40f-efc5-433d-8ad2-b4b9d42049d5/Windows2000-KB823980-x86-ENU.exe
Windows XP 中文版：
http://download.microsoft.com/download/a/a/5/aa56d061-3a38-44af-8d48-85e42de9d2c0/WindowsXP-KB823980-x86-CHS.exe
Windows XP 英文版：
http://download.microsoft.com/download/9/8/b/98bcfad8-afbc-458f-aaee-b7a52a983f01/WindowsXP-KB823980-x86-ENU.exe
未尽陈列的系统用户我们建议立即登陆Windows Update来进行升级更新。我们建议所有Windows 2000/XP 以及 Windows Server 2003系统的用户立即安装此安全补丁。

若XP用户时常重新启动无法正常安装补丁可以通过命令 shutdown -a 来暂时缓解重起症状。开始＝》运行＝》shutdown -a
同时打开资源管理器检索一下是否有 msblast.exe 在运行，若有先在进程中删除再安装补丁。

检测你的系统
请注意，以上措施只是挽救已将崩溃的系统，修正病毒利用的系统漏洞。但是病毒并没有清除。请各位用户在安装好补丁之后，立即安装防毒软件或升级已安装病毒软件的最新病毒库，并全面检测你的系统以确保能够清楚残留在系统中的病毒。
手动清除方法：
1. 开始＝》运行＝》taskmgr，启动任务管理器。在其中查找 msblast.exe 进程，找到后在进程上单击右键，选择“结束进程”，点击“是”。
2. 检查系统的 %systemroot%system32 目录下（Win2K一般是C:WINNTSystem32）是否存在 msblast.exe 文件，如果有，删除它。
注意－必须先结束msblast.exe在系统中的进程才可以顺利的删除它。
3. 开始＝》运行＝》regedit，启动注册表编辑器。在注册表中找到 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun ,
删除其下的“windows auto update"="msblast.exe”键值。
4. 在DOS窗口打入 netstat -an 来查看是否还有病毒在快速的向外部发送packets。
这样可以清除蠕虫病毒在系统中的驻留，不过仍然建议大家使用正版的杀毒软件对系统进行全面的检测，以求万无一失。

专杀工具下载:
于8月12日起，国内出现利用RPC漏洞进快速传播的蠕虫病毒，并命名为：“冲击波(新流言)”(Worm.MSblaster)。该蠕虫病毒能够使计算机崩溃，症状是机器变慢，有些机器会反复重启；影响除win9X/Me以外的所有Windows操作系统，为预防该病毒，请各位及早打上补丁：
可以到http://www.20cn.net/note.htm下载安装；
如可能，请装上防火墙，并关闭69，135,139,445，4444端口；
如已感染病毒，请到http://it.rising.com.cn/service/technology/RS_blaster.htm或
http://www.duba.net/download/3/91.shtml下载专杀工具杀毒；
警告：未来一段时间可能出现更多利用RPC漏洞传播的病毒，请一定打上补丁！！！

灿 · 发表于 2003-8-15 09:50

我有防火墙,不会用,怎么关闭窗口拉

一斛酒 · 发表于 2003-8-15 10:05

下载了补丁就没事了。
非要关闭端口的话———你用的什么防火墙？不同的防火墙应该是不同的操作步骤吧。

秋风传说 · 发表于 2003-8-15 10:20

本人机器安装的是w2k，因没安装补丁，不慎中招。安装上述补丁，需要先安装SP2或更高（如果等发现中毒再装，有点费事）。另外，听人讲“天网防火墙”对预防worm.Blaster有效，各位无妨搜索下载试试。

灿 · 发表于 2003-8-15 15:09

对了,好多坏东东来访问我的135端口什么的,都被我的天网防火墙挡住了,应该有用哦,你们最好也下来防着吧,我们宿舍三分之二的人都中招了,怕怕,.大家还是小心点,希望没有中招的人不要再有人中了哦

swift · 发表于 2003-8-18 08:01

对对，我的就是天网了！

		自动登录	找回密码
密码			注册

[公告]新型蠕虫病毒W32.Blaster.Worm（冲击波） 防治方法！！！