大家注意了!

野猫-290

昨天不幸中毒,该病毒危害之大令我汗颜.现已解决.
<br>请各位注意了.
<br>使用XP的同志感染几率很大的噢!!
<br>具体请看底下:
<br>=========================
<br>========================
<br>==========================
<br>
<br>
<br>(转帖):
<br>
<br>最近有好多的朋友的xp等系统出现了因RPC错误自动关机的问题，好像还没有引起大家的重视，建议版主将这个帖子固顶两天，让赢征的兄弟不要象我一样重装n遍系统。
<br>
<br>-----------------------------------------------------------------------------------------------------------
<br>微软发布RPC远程可执行代码漏洞通告
<br>  
<br>　　国家计算机病毒应急处理中心根据微软公司发布的通告，即关于RPC 接口中远程任意可执行代码漏洞（823980），向计算机用户发出预警。如果成功利用此漏洞，攻击者就有可能获得对远程计算机的完全控制，并以本地系统权限执行任意指令。攻击者可以在系统上执行任意操作，如安装程序、查看或更改、删除数据、重新格式化硬盘或建立系统管理员权限的帐户。
<br>Microsoft RPC接口远程任意代码可执行漏洞受影响的软件：
<br>
<br>  　Microsoft Windows NT 4.0
<br>　　Microsoft Windows NT 4.0 Terminal Services Edition
<br>　　Microsoft Windows 2000
<br>　　Microsoft Windows XP Microsoft
<br>      Microsoft Windows Server 2003
<br>
<br>　　漏洞描述
<br>
<br>RPC（Remote Procedure Call）是 Windows 操作系统使用的一个远程过程调用协议。RPC 提供了一种进程间的通信机制，通过这一机制，允许在某台计算机上运行的程序顺畅地在远程系统上执行代码。协议本身源自OSF（开放式软件基础）RPC 协议，但增加了一些 Microsoft 特定的扩展 。
<br>
<br>RPC 中处理通过 TCP/IP 的消息交换的部分有一个漏洞。此问题是由错误地处理格式不正确的消息造成的。这种特定的漏洞影响DCOM （分布式组件对象模型） 与 RPC 间的一个接口，该接口侦听TCP/IP 端口135，用于处理由客户端机器发送给服务器的DCOM对象激活请求（如UNC路径）。
<br>
<br>该漏洞实际上是一个缓冲区溢出漏洞，成功利用此漏洞的攻击者有可能获得对远程计算机的完全控制，可以以本地系统权限执行任意指令。攻击者可以在系统上执行任意操作，如安装程序、查看或更改、删除数据、重新格式化硬盘或建立系统管理员权限的帐户。
<br>
<br>在利用该漏洞时，攻击者需要发送特殊形式的请求到远程机器上的135端口。从而造成目标计算机受制于人，攻击者可以在它上面执行任意代码。
<br>
<br>不同于以往发现的安全漏洞，该漏洞不仅影响作为服务器的Windows系统，同样也会影响个人电脑，所以潜在的受害者数量非常多。
<br>
<br>DCOM （分布式对象模型）
<br>分布式对象模型（DCOM））是一种能够使软件组件通过网络直接进行通信的协议。DCOM 以前叫做“网络 OLE”，它能够跨越包括 Internet 协议（例如 HTTP）在内的多种网络传输。可以从以下网站查阅有关 DCOM 的详细信息：
<br><a href="http://www.microsoft.com/com/tech/dcom.asp" target="_blank">http://www.microsoft.com/com/tech/dcom.asp</a>
<br>
<br>RPC（远程过程调用）
<br>远程过程调用（RPC）是一种协议，程序可使用这种协议向网络中的另一台计算机上的程序请求服务。由于使用 RPC 的程序不必了解支持通信的网络协议的情况，因此 RPC 提高了程序的互操作性。在 RPC 中，发出请求的程序是客户程序，而提供服务的程序是服务器。
<br>
<br>防范措施：
<br>下载安装相应的补丁程序：
<br>
<br>Microsoft已为此发布了一个安全公告（MS03-026）以及相应补丁，请尽快下载安装。
<br><a href="http://www.microsoft.com/technet/security/bulletin/MS03-026.asp" target="_blank">http://www.microsoft.com/technet/security/...in/MS03-026.asp</a>
<br>
<br>在防火墙上封堵 不必要的端口
<br>135端口用于启动与远程计算机的 RPC 连接。连接到Internet的计算机应当在防火墙上封堵 135 端口，用以帮助防火墙内的系统防范通过利用此漏洞进行的攻击。
<br>使用防火墙关闭所有不必要的端口，漏洞不仅仅影响135端口，还影响到大部分调用DCOM函数的服务端口，建议用户使用网络或是个人防火墙过滤以下端口：
<br>　　135/TCP epmap
<br>　　135/UDP epmap
<br>　　139/TCP netbios-ssn
<br>　　139/UDP netbios-ssn
<br>　　445/TCP microsoft-ds
<br>　　445/UDP microsoft-ds
<br>　　593/TCP http-rpc-epmap
<br>　　593/UDP http-rpc-epmap
<br>
<br>有关为客户端和服务器保护 RPC 的详细信息，请访问：
<br><a href="http://msdn.microsoft.com/library/default.asp?url=/library/en-us/rpc/rpc/writing_a_secure_rpc_client_or_server.asp" target="_blank">http://msdn.microsoft.com/library/default....t_or_server.asp</a>
<br>有关 RPC 使用的端口的详细信息，请访问：
<br><a href="http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/tcpip/part4/tcpappc.asp" target="_blank">http://www.microsoft.com/technet/prodtechn...rt4/tcpappc.asp</a>
<br>
<br>　　手动为计算机启用（或禁用） DCOM：
<br>
<br>　　运行 Dcomcnfg.exe。
<br>　　如果您在运行 Windows XP 或 Windows Server 2003，则还要执行下面这些步骤：
<br>　　单击“控制台根节点”下的“组件服务”。
<br>　　打开“计算机”子文件夹。
<br>　　对于本地计算机，请以右键单击“我的电脑”，然后选择“属性”。
<br>　　对于远程计算机，请以右键单击“计算机”文件夹，然后选择“新建”，再选择“计算机”。
<br>　　输入计算机名称。以右键单击该计算机名称，然后选择“属性”。
<br>　　选择“默认属性”选项卡。
<br>　　选择（或清除）“在这台计算机上启用分布式 COM”复选框。
<br>
<br>
<br>如果您要为该计算机设置更多属性，请单击“应用”按钮以启用（或禁用） DCOM。否则，请单击“确定”以应用更改并退出Dcomcnfg.exe。［来源： 国家计算机病毒应急处理中心］
<br>----------------------------------------------------------------------------------------------------
<br>中文版补丁下载地址（For XP）
<br><a href="http://download.microsoft.com/download/a/a/5/aa56d061-3a38-44af-8d48-85e42de9d2c0/WindowsXP-KB823980-x86-CHS.exe" target="_blank">http://download.microsoft.com/download/a/a...980-x86-CHS.exe</a>
<br>
<br>部分电脑安装for中文版的补丁会提示语言不对，请使用英文版本的补丁（For XP）
<br><a href="http://download.microsoft.com/download/9/8/b/98bcfad8-afbc-458f-aaee-b7a52a983f01/WindowsXP-KB823980-x86-ENU.exe" target="_blank">http://download.microsoft.com/download/9/8...980-x86-ENU.exe</a>
<br>
<br>
<br>国家计算机病毒应急处理中心
<br>
<br>绿盟科技安全小组的HoneyPot监测到一种针对MS06-026 Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞的蠕虫正在活跃，危害极大。
<br>……
<br>北京时间2003年08月12日，绿盟科技安全小组的HoneyPot监测到了一种新的攻击，绿盟科技安全小组火速对捕获的数据样本分析和研究，已经明确，这是一个针对MS06-026 Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞（<a href="http://www.nsfocus.net/index.php?act=sec_bug&do=view&bug_id=5147）的蠕虫。因为该漏洞影响所有没有安装MS06-026补丁的Windows" target="_blank">http://www.nsfocus.net/index.php?act=sec_b...26补丁的Windows</a> 2000、Windows XP、Windows 2003系统，不仅是服务器，也包括个人计算机在内，所以危害极大。
<br>
<br>该蠕虫大小为6176字节。用LCC-Win32 v1.03编译，upx 1.22压缩，创建时间是2003年8月11日7点21分。
<br>
<br>蠕虫感染系统后首先检测是否有名为"BILLY"的互斥体存在，如果检测到该互斥体，蠕虫就会退出，如果没有，就创建一个。
<br>
<br>然后蠕虫会在注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun中添加以下键值：
<br>"windows auto update"="msblast.exe"
<br>以保证每次用户登录的时候蠕虫都会自动运行。
<br>蠕虫还会在本地的UDP/69端口上建立一个tftp服务器，用来向其他受侵害的系统上传送蠕虫的二进制程序msblast.exe。
<br>蠕虫选择目标IP地址的时候会首先选择受感染系统所在子网的IP，然后再按照一定算法随机在互连网上选择目标攻击。
<br>一旦连接建立，蠕虫会向目标的TCP/135端口发送攻击数据。如果攻击成功，会监听目标系统的TCP/4444端口作为后门，并绑定cmd.exe。然后蠕虫会连接到这个端口，发送tftp命令，回连到发起进攻的主机，将msblast.exe传到目标系统上，然后运行它。
<br>蠕虫所带的攻击代码来自一个公开发布的攻击代码，当攻击失败时，可能造成没有打补丁的Windows系统RPC服务崩溃，Windows XP系统可能会自动重启。该蠕虫不能成功侵入Windows 2003，但是可以造成Windows 2003系统的RPC服务崩溃，默认情况下，这将使系统重启。
<br>蠕虫检测到当前系统月份是8月之后或者日期是15日之后，就会向微软的更新站点"windowsupdate.com"发动拒绝服务攻击。也就是说，从2003年8月16日开始就会一直进行拒绝服务攻击。
<br>
<br>蠕虫代码中还包含以下文本数据：
<br>I just want to say LOVE YOU SAN!!
<br>billy gates why do you make this possible ? Stop making money and fix your software!!
<br>
<br>解决方法：
<br>==========
<br>* 检测是否被蠕虫感染：
<br>
<br> 1、检查系统的%systemroot%system32目录下是否存在msblast.exe文件。
<br> 2、检查注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun。
<br>请在命令提示符中按照下面键入：
<br>    C:  >regedit /e tmp.txt HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
<br>    C:  >type tmp.txt
<br>    如果被感染，那么您可以看到类似的显示结果：
<br>    C:  >type tmp.txt
<br>    Windows Registry Editor Version 5.00
<br>
<br>    [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
<br>    "windows auto update"="msblast.exe"
<br> 3、在任务管理器中查看是否有msblast.exe的进程。如果有，说明蠕虫正在您的系统上运行。
<br>
<br>*清除
<br>如果发现系统已经被蠕虫感染，我们建议您按照以下步骤手工清除蠕虫：
<br> 1、按照上述“预防蠕虫感染”的方法安装补丁。
<br> 2、点击左下角的“开始”菜单，选择“运行”，在其中键入“taskmgr”，点击“确定”。这样就启动了任务管理器。在其中查找msblast.exe进程，找到后在进程上单击右键，选择“结束进程”，点击“是”。
<br> 3、删除系统目录下的msblast.exe。
<br> 4、点击左下角的“开始”菜单，选择“运行”，在其中键入“regedit”，点击“确定”。这样就启动注册表编辑器。在注册表中找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun，删除其下的"windows auto update"="msblast.exe"。
<br> 5、重新启动系统。

枫血

hoho~~~` 搞定了~

我的好几个哥们的机器已经挂了。。。\r<br>我的还好，应对的及时。

至尊宝

知道是什么原因了吧:) :) :)