※ [本文轉錄自 showtoe 信箱] 作者: [email protected] (cocohow) 標題: Fw: [轉錄]解msblast.worm的方法 時間: Wed Aug 13 10:24:07 2003 ----- Original Message ----- From: <[email protected]> To: <[email protected]> Sent: Wednesday, August 13, 2003 6:29 PM Subject: [轉錄]解msblast.worm的方法 > 作者: Jonny1 (未來) 看板: JonnyDa > 標題: [轉錄]解msblast.worm的方法 > 時間: Tue Aug 12 12:30:48 2003 > > 關於今早開始的一直重開機解決方法 > -------------------------------- > > 目前已經有 DCOM RPC 的漏洞被不肖分子所利用, 撰寫出分散式攻擊的程式, > > 被攻擊的電腦將常駐一個軟體, 不但開啟後門並且自動持續攻擊其他台電腦!! > > 目前 Symantec 公司已經將其命名為 W32.Blaster.Worm，美國的網站資料已經 > > 更新，但台灣的網站還沒有。 > > 網址在: > http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.htm l > > 該蠕蟲作者有計畫地將中毒的電腦於 8/15 開始，持續攻擊 windowsupdate.com 網 站。 > > 已經確定全系列的 NT-Based 系統皆受影響. > > Windows 2000 從 SP0, SP1, SP2, SP3, SP4 全部受影響. > Windows XP 從 SP0, SP1 全部受影響. > Microsoft Windows NTR 4.0 > Microsoft Windows NT 4.0 Terminal Services Edition > Microsoft Windows Server? 2003 > ======================================================================== > !! 怎樣確定自己的電腦已經中毒 ? > > * 如果你的電腦動不動就跟你說要重新開機 (60 秒) > > * 或是: > > [開始]->執行->Taskmgr.exe [ENTER] 後, 看一下有沒有 MSBLAST.EXE 這個 > > 程式正在運作, 如果有, 也表示你已經中毒! > > !! 中毒解毒程序: (確定這樣的解法沒有問題) > > 0 . 開始->執行->CMD.EXE [ENTER] (開啟Command line 視窗) > > 若系統跟你說要重新開機了, 請輸入shutdown -a [enter] 取消重新開機指令. > > 1 . 刪除 MSBLAST.EXE 這個 Process (直接在上面按右鍵, 選結束處理程序即可) > > 2 . 到微軟官方網站抓 DCOM RPC 的漏洞 Patch, 先存到硬碟去. > > 微軟官方網站: > http://www.microsoft.com/technet/security/bulletin/MS03-026.asp > 我已經 Mirror 一份到 http://w3.cis92.net/rpc/ 下面. > (在交大裡面, 只有 W2K 和 XP) > > w2k 裡面的 CHT 表示中文版本, EN 表示英文版本 > > xp 也是一樣的. > > 3 . 拔掉網路線 > > 4 . 用檔案總管, 到 Windows\System32 這個目錄下面找到 MSBLAST.EXE, > > 按右鍵選內容將唯讀取消掉, 然後把這個程式幹掉. > > 5 . 開始->執行->regedit.exe , 並且到: > > HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下面 > > 將右邊的 "windows auto update" 這個鍵值直接砍掉, 砍掉後關閉登陸編輯程 式. > > 6 . 執行你剛剛所抓下來的 Patch > > 7 . 重新開機 > > 8 . 接上網路線, 大功告成. > > 有問題請直說沒有關係 :) > > ps. 別忘了，若您的電腦沒有中毒，也請盡快灌 Patch :) > > by Chen Chun-han @ CIS92. > > -- > ※Post by Jonny1 from 140.116.91.242 >