枫林在线论坛精华区>>信息安全
[85307] 主题: 支持部门安全响应小组警告-最新病毒:W32.Blaster.worm
作者: bathory (muttoooooooon)
标题: 支持部门安全响应小组警告-最新病毒:W32.Blaster.worm[转载]
来自: 61.171.*.*
发贴时间: 2003年08月12日 15:48:51
长度: 4078字
发信人: melchior (练习,这个城市没有你), 信区: Hardware
标  题: 一个蠕虫,可能会造成频繁重启
发信站: 日月光华 (2003年08月12日14:19:05 星期二)

支持部门安全响应小组警告-最新病毒:W32.Blaster.worm

 

级别: 严重 

日期: 二零零三年,八月 十一日

受影响产品: Windows XP, Windows 2000, Windows Server 2003, Windo
ws NT 4.0, NT 
4.0 Terminal Services Edition

 

关于此警告:

微软产品支持部门安全小组发布此警告以通知用户一个新发现的蠕虫病毒
W32.Blaster.Wo
rm。此病毒正在传播之中。此病毒也被称为W32/Lovsan.worm (McAfee)
,WORM_MSBLAST
.A (Trendmicro),Win32.Posa.Worm (Computer Associates)。 相应
的行动,例如安
装安全补丁MS03-026能够防止计算机被感染。 

 

如果您已经在今天之前安装了安全补丁MS03-026,那么您的计算机已经被
保护,不用做任
何其他动作。

 

攻击影响:通过开放的RPC端口传播。计算机意外重新启动或者mblast.ex
e存在于系统之中


 

技术细节: 此病毒扫描随机IP地址段,通过TCP端口135寻找受影响的系统
。此病毒利用D
COM RPC 漏洞。此漏洞已被安全补丁MS03-026解决。

 

当病毒代码被送至受影响系统,它会通过TFTP从一个远端系统下载并执行
MSBLAST.EXE。一
旦执行,病毒生成注册表键值: 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 "windows auto
 update" = msblast.exe I just want to say LOVE  YOU SAN!! b
ill 

 

病毒症状:一部分用户可能感觉不到任何症状。一个典型的症状是没有用
户操作的情况下
,系统每隔几分钟重新启动。用户可能会看到:

- 异常的 TFTP* 文件的存在

- 文件msblast.exe在WINDOWS SYSTEM32目录中存在

 

为了检测病毒的存在,您可以在WINDOWS SYSTEM32目录中查找msblast.ex
e或者从您的防病
毒软件提供商处下载最新的防病毒软件的病毒数据库并扫描您的计算机。


 

以下防病毒软件提供商参与微软Virus Information Alliance (VIA)。从
以下网站可以得
到更多此病毒的细节:

 

Network Associates:  http://us.mcafee.com/virusInfo/default.asp?
id=description 
&virus_k=100547

 

Trend Micro:  http://www.trendmicro.com/vinfo/virusencyclo/defau
lt5.asp?VName= 
WORM_MSBLAST.A

 

Symantec: http://securityresponse.symantec.com/avcenter/venc/dat
a/w32.blaster. 
worm.html 

 

Computer Associates: http://www3.ca.com/virusinfo/virus.aspx?ID=
36265 

 

如果您想了解微软Virus Information Alliance,请访问以下链接:http
://www.microso 
ft.com/technet/security/virus/via.asp 

 

请联系您的防病毒软件提供商以获得更多关于此病毒的细节。

 

预防: 开启Internet连接防火墙(Windows XP 或 Windows Server 2003) 
或使用第三方防
火墙关闭TCP端口135,139,445和593;及UDP端口69 (TFTP) for zombie
 bits download
 和 TCP端口4444 for remote command shell。开启Internet连接防火墙
,请参照:  ht
tp://support.microsoft.com/?id=283673 

 

1. 在控制面板中,打开“网络连接”。

2. 右键点击需要开启Internet连接防火墙的连接并点击“属性”。 

3. 在“高级”页上,选择Internet连接防火墙的选项。 

 

此蠕虫利用了一个早先公布的安全漏洞来作为感染手段。因此,用户必须
保证计算机已经
安装了安全补丁MS03-026。http://www.microsoft.com/technet/securit
y/bulletin/MS0 
3-026.asp. (中文版:http://www.microsoft.com/china/security/Bull
etins/MS03-026 
.asp) 您可以通过Windows Update http://windowsupdate.microsoft.co
m来安装此补丁。 


 

像通常一样,请确保您的防病毒软件拥有最新的病毒库用来查杀病毒及它
们的变体。 

 

恢复:建议您把感染的机器完全重新安装以防止尚未发现的安全隐患。请
参看Cert Advis
ory: 

Steps for Recovering from a UNIX or NT System Compromise.  http:
//www.cert.org 
/tech_tips/win-UNIX-system_compromise.html

 

更多关于恢复的信息可以从您的防病毒软件提供商得到。

 

相关的微软安全通告: http://www.microsoft.com/technet/security/bu
lletin/MS03-02 
6.asp 

 

相关的知识库文章: http://support.microsoft.com/?kbid=826955 

此文章将在24小时内发布。

 

相关链接:  http://www.microsoft.com/security/incident/blast.asp 


 

如果您对此安全警告有任何疑问,请联系您的微软客户代表。如果您在美
国,也可致电 1
-866-727-2338 (1-866-PCSafety)。如果您在其它国家,也可以联系当地
的微软机构。您
也可以从微软病毒新闻组获得关于病毒的支持。news://msnews.microsof
t.com/microsof
t.public.security.virus.

 

支持部门安全响应小组


========== * * * * * ==========
返回