|
金山公司反病毒专家陈飞舟,经过对冲击波病毒的仔细研究后针对目前用户的重大
困惑做出权威答疑如下:
一、提防“冲击波”病毒
“冲击波”病毒Worm.msBlast是第一个利用RPC漏洞进行攻击和传染的病毒!受影
响的系统包括:WindowsNT4.0、Windows2000、WindowsXP和Windows2003系列产
品,有意思的是一直被人诟病的Windows98和WindowsME由于未采用RPC机制幸免于
难。
二、什么是RPC漏洞
Remote Procedure Call (RPC)是Windows操作系统使用的一种远程过程调用协议,
RPC提供进程间交互通信机制,允许在某台计算机上运行的程序无缝地在远程系统
上执行代码。Microsoft的RPC部分在通过TCP/IP处理信息交换时存在问题,远程攻
击者可以利用这个漏洞以本地系统权限在系统上执行任意指令。
此漏洞是由于不正确处理畸形消息所致,漏洞影响使用RPC的DCOM接口。此接口处
理由客户端机器发送给服务器的DCOM对象激活请求(如UNC路径)。攻击者成功利用
此漏洞可以以本地系统权限执行任意指令。攻击者可以在系统上执行任意操作,如
安装程序、查看或更改、删除数据或建立系统管理员权限的帐户。
通俗地说:利用这个漏洞,一个攻击者可以随意在远程计算机上执行任何指
令!!!
三、被攻击的机器有哪些现象
1、莫名其妙地死机或重新启动计算机;
2、IE浏览器不能正常地打开链接;
3、不能复制粘贴;
4、有时出现应用程序,比如Word异常;
5、网络变慢;
6、最重要的是,在任务管理器里有一个叫“msblast.exe”的进程在运行!
四、如何解决
任何紧张和恐惧都是不解决问题的,虽然严重但也绝对没到删除所有文件,格式化
硬盘的地步!使用以下几步就可以解决:
1、首要是给系统打补丁,亡羊补牢尤未晚已。
关于这个漏洞的介绍:
<http://www.microsoft.com/china/t ... in/MS03-026.asp>
http://www.microsoft.com/china/technet/security/bulletin/MS03-026asp
下载补丁:
Windows2000简体中文版:
<http://download.microsoft.com/do ... 6-772b-42b0-9125-68
58b759e977/Windows2000-KB823980-x86-CHS.exe>
http://download.microsoft.com/download/2/8/1/281c0df6-772b-42b0-9125-685
8b759e977/Windows2000-KB823980-x86-CHS.exe
WindowsXP简体中文版:
<http://download.microsoft.com/do ... 1-3a38-44af-8d48-85
e42de9d2c0/WindowsXP-KB823980-x86-CHS.exe>
http://download.microsoft.com/download/a/a/5/aa56d061-3a38-44af-8d48-85e
42de9d2c0/WindowsXP-KB823980-x86-CHS.exe
Windows2000英文版:
<http://download.microsoft.com/do ... f-efc5-433d-8ad2-b4
b9d42049d5/Windows2000-KB823980-x86-ENU.exe>
http://download.microsoft.com/download/0/1/f/01fdd40f-efc5-433d-8ad2-b4b
9d42049d5/Windows2000-KB823980-x86-ENU.exe
WindowsXP英文版:
<http://download.microsoft.com/do ... 8-afbc-458f-aaee-b7
a52a983f01/WindowsXP-KB823980-x86-ENU.exe>
http://download.microsoft.com/download/9/8/b/98bcfad8-afbc-458f-aaee-b7a
52a983f01/WindowsXP-KB823980-x86-ENU.exe
2、然后下载专杀工具清除:
下载冲击波专杀工具: <http://www.duba.net/download/3/91.shtml>
http://www.duba.net/download/3/91.shtml
3、升级反病毒软件
一、对于已经感染而不能打开补丁链接的问题:
可以这么解决:方法1、先打开IE浏览器,把补丁链接复制到浏览器的地址栏
里就可以下载了。如果不幸复制粘贴也不能用了,那只好照着上面的内容在地址栏
里输入了;方法2、打开网络蚂蚁或网络快车,把上面的地址复制或输入到下载的
任务里就行了。
二、怎么知道我是否成功地打上了这个补丁?
根据微软的定义,这个安全修补程序的代号为kb823980,我们要检查的就是这
一项。
打开注册表编辑器。不知道怎么打开?在开始菜单上执行“运行”命令,输入
“regedit"(不要引号)。
在注册表编辑器的窗口里又分左右两个窗格,我们先看左窗格。这个东西和资
源管理器是非常相像的,只不过它有一些类似HKEY_。。。这样的条目,我们只看
HKEY_LOCAL_MACHINE这一条(这里面的东东实在太多了,就不罗索了)。
展开这一条,找到里面的SOFTWARE,然后再展开,找到Microsoft,依次分
别:
1、对于WindowsNT4.0: 找到 Updates,Windows NT, SP6,看看里面有没
有kb823980
2、对于Windows2000: 找到 Updates,Windows 2000,SP5,看看里面有没
有kb823980
3、对于WindowsXP: 找到 Updates,Windows XP, SP1,看看里面有没
有kb823980
4、对于WindowsXP SP1:找到 Updates,Windows XP, SP2,看看里面有没
有kb823980
如果找到,那就说明已经打上补丁了。如果没有,那就只有再来一次啦。
“冲击波”肆虐第2天:金山毒霸四大救援措施全面出台
8月3日,金山反病毒中心警告,该中心捕获的“流言”病毒(Worm.SdBotRPC)是
国内出现的第一个针对Windows RPC服务漏洞进行攻击的病毒,并预计破坏性不亚
于两年前在我国爆发的恶性病毒“红色代码”。
8月12日,金山公司接到潮水般的客户求助电话,“冲击波”(新流言)的蠕虫病
毒开始在国内大面积爆发,当日仅仅金山反病毒中心就接到近2000遭受攻击用户求
助。
8月12日下午,金山毒霸“冲击波”病毒专杀工具完成并公布在 www.duba.net
<http://www.duba.net> 供用户下载。
8月13日,“冲击波”病毒在全球包括美国、欧洲、台湾等地进一步疯狂传播,金
山反病毒专家陈飞舟提醒更要提防新变种的可能性。
国内著名反病毒骨干企业金山公司通知金山毒霸单机版以及企业版用户紧急更新病
毒库,并向全社会提供四大紧急救援措施:
1.首要是给系统打补丁,亡羊补牢尤未晚已。
下载补丁:
Windows2000简体中文版:
http://download.microsoft.com/download/2/8/1/281c0df6-772b-42b0-9125-685
8b759e977/Windows2000-KB823980-x86-CHS.exe
<http://download.microsoft.com/do ... 6-772b-42b0-9125-68
58b759e977/Windows2000-KB823980-x86-CHS.exe>
WindowsXP简体中文版:
http://download.microsoft.com/download/a/a/5/aa56d061-3a38-44af-8d48-85e
42de9d2c0/WindowsXP-KB823980-x86-CHS.exe
<http://download.microsoft.com/do ... 1-3a38-44af-8d48-85
e42de9d2c0/WindowsXP-KB823980-x86-CHS.exe>
Windows2000英文版:
http://download.microsoft.com/download/0/1/f/01fdd40f-efc5-433d-8ad2-b4b
9d42049d5/Windows2000-KB823980-x86-ENU.exe
<http://download.microsoft.com/do ... f-efc5-433d-8ad2-b4
b9d42049d5/Windows2000-KB823980-x86-ENU.exe>
WindowsXP英文版:
http://download.microsoft.com/download/9/8/b/98bcfad8-afbc-458f-aaee-b7a
52a983f01/WindowsXP-KB823980-x86-ENU.exe
<http://download.microsoft.com/do ... 8-afbc-458f-aaee-b7
a52a983f01/WindowsXP-KB823980-x86-ENU.exe>
2、下载专杀工具清除病毒:
下载冲击波专杀工具: http://www.duba.net/download/3/91.shtml
<http://www.duba.net/download/3/91.shtml>
3. 公布800紧急救援电话 8008105770
4.全面开通短信紧急救援服务 用户编写“毒霸:XXXXXXXXXX(描述机器故障),移
动用户发送到6008;联通用户发送到9008。
瑞星“利剑”行动对抗“冲击波” 紧急发放20万张免费救援光盘
8月12日开始泛滥的“冲击波”病毒在国内造成了大规模感染,到目前为止瑞星技术服务部门已经统计有数千个企事业单位的局域网瘫痪,“中招”的个人用户更是难以计数。从目前的形势判断,“冲击波”病毒在国内的泛滥程度几乎超过当年的“CIH”和“红色代码”。
针对这一严峻形势,瑞星公司决定在全国范围内展开一场“层层设防、彻底查杀、不留死角”的大规模扫毒行动,并将这一系列行动统一命名为“利剑”行动。
8月14日,瑞星“利剑”行动的第一个举措紧急出炉:联合1000余家软件经销商,在全国范围内紧急发放20万张免费救援光盘。
据了解,8月13日瑞星公司各个部门全部停止正常的工作,全力接受用户的救援请求和技术咨询,同时24小时赶制光盘光盘并预定已全国各地的航班,争取在14日中午将第一批光盘送达全国各主要城市。请广大用户关注瑞星在各城市主要软件店面的光盘发放消息。
瑞星副总裁毛一丁表示,从12、13日两天的形势看,“冲击波”病毒在国内的蔓延速度几乎失控,到13日晚上20:00点为止,瑞星公司累计收到用户求助信息8100多个。我们判断近几天“冲击波”将继续在全国各地泛滥,局势非常紧迫。他认为,这个时候正是反病毒厂商和经销商为用户解决问题,回报社会的时候,因此瑞星公司几乎暂停了所有的正常工作,全力投入到这场战斗中来。
毛一丁解释,此次免费光盘发放的对象是已经被感染的用户,这些用户的机器被感染后根本无法上网并下载补丁程序和专杀工具,因此只能用光盘来恢复系统并彻底查杀病毒。瑞星救援光盘的内容包括各种版本的系统补丁程序、RPC漏洞的补丁程序、瑞星专杀工具、瑞星杀毒软件最新版本的升级程序。
光盘使用说明:
一、将光盘放入光驱。
二、安装系统补丁程序:
1.WINDOWS NT系统的用户: 需要安装Service Pack 6补丁程序包
路径为: 光盘\系统补丁程序\NT4SP6_CN\sp6i386.exe
2.WINDOWS 2000系统的用户:需要安装Service Pack 3补丁程序包
路径为: 光盘\系统补丁程序\WIN2K SP3_CN\W2KSP3.exe
3.WINDOWS XP系统的用户: 需要安装Service Pack 1补丁程序包
路径为: 光盘\系统补丁程序\WINDOWS XP SP1_CN\xpsp1.exe
三、安装RPC漏洞的补丁程序:
1.WINDOWS NT系统的用户:
需要安装针对WINDOWS NT的RPC漏洞补丁程序
路径为:光盘\RPC漏洞补丁程序\WINNT-SERVER\CHS\CHSQ823980I.EXE
2.WINDOWS 2000系统的用户:
需要安装针对WINDOWS 2000的RPC漏洞补丁程序
路径为:光盘\RPC漏洞补丁程序\WIN2000\CHS\WINDOWS2000-KB823980-X86-CHS.EXE
3.WINDOWS XP系统的用户:
需要安装针对WINDOWS XP的RPC漏洞补丁程序
路径为:光盘\RPC漏洞补丁程序\WINXP-32\CHS\WINDOWSXP-KB823980-X86-CHS.EXE
4.WINDOWS SERVER 2003系统的用户:
需要安装针对WINDOWS SERVER 2003的RPC漏洞补丁程序
路径为:光盘\RPC漏洞补丁程序\SERVER2003-32\CHS\WINDOWSSERVER2003-KB823980-X86-CHS.EXE
四、使用瑞星专杀工具:
瑞星专杀工具的路径为:光盘\瑞星程序\ravzerg.exe,用户直接运行该工具,按照提示操作即可清除“冲击波”病毒。
五、瑞星杀毒软件最新版本的升级程序:
路径为:光盘\瑞星程序\upgrade.exe文件,
运行瑞星杀毒软件最新版本的升级程序,即可升级本机的瑞星杀毒软件,而后打开实时监控,进行全盘杀毒即可。
“冲击波”两变种今日再现,金山毒霸一路追杀
8月14日上午,金山毒霸反病毒中心监测到“冲击波”病毒的两个最新变种, 请广大用户提高警惕,及时升级杀毒软件或者下载专杀工具。
金山反病毒工程师经过初步分析,认为该病毒变种并没有在原始病毒上做太多的改动,造成的影响和第一个版本的病毒是无出其右的,这两个变种病毒只是重新采用了新的压缩方式来压缩病毒体,在原始病毒体外增加了一层外壳,并改变了病毒文件名称和注册表键值。可以认为,这种改动的目的完全是为了躲避杀毒软件的追杀。
金山公司将会密切关注“冲击波”的最新动态,并随时向广大用户报告此病毒的最新走向。
再次提醒广大用户,警惕RPC漏洞,及时修补系统漏洞,安装官方发布的补丁 程序,详情请参照
<http://www.duba.net/c/2003/08/12/88900.shtml>
“冲击波”病毒背景材料
8月3日,金山反病毒中心警告,该中心捕获的“流言”病毒(Worm.SdBotRPC)是 国内出现的第一个针对WindowsRPC服务漏洞进行攻击的病毒,并预计破坏性不亚于两年前在我国爆发的恶性病毒“红色代码”。
8月12日,金山公司接到潮水般的客户求助电话,“冲击波”(新流言)的蠕虫病毒开始在国内大面积爆发,当日仅仅金山反病毒中心就接到近2000遭受攻击用户求助。
8月12日下午,金山毒霸“冲击波”病毒专杀工具完成并公布在 www.duba.net <http://www.duba.net/> 供用户下载。
8月13日,“冲击波”病毒在全球包括美国、欧洲、台湾等地进一步疯狂传播,金山反病毒专家陈飞舟提醒更要提防新变种的可能性。
“冲击波”病毒解决方案
首要是给系统打补丁,亡羊补牢尤未晚已。
下载补丁:
< Windows2000简体中文版:
http://download.microsoft.com/download/2/8/1/281c0df6-772b-42b0-9125-6858b759e977/Windows2000-KB823980-x86-CHS.exe
< WindowsXP简体中文版:
http://download.microsoft.com/download/a/a/5/aa56d061-3a38-44af-8d48-85e42de9d2c0/WindowsXP-KB823980-x86-CHS.exe
< Windows2000英文版:
http://download.microsoft.com/download/0/1/f/01fdd40f-efc5-433d-8ad2-b4b9d42049d5/Windows2000-KB823980-x86-ENU.exe
< WindowsXP英文版:
http://download.microsoft.com/download/9/8/b/98bcfad8-afbc-458f-aaee-b7a52a983f01/WindowsXP-KB823980-x86-ENU.exe
2、下载专杀工具清除病毒:
下载冲击波专杀工具: http://www.du, ba.net/download/3/91.shtml
3. 公布800紧急救援电话 8008105770
4.全面开通短信紧急救援服务 用户编写“毒霸:XXXXXXXXXX(描述机器故障),移动用户发送到6008;联通用户发送到9008。
10 万套《金山毒霸“冲击波”整体解决方案包》光盘赶制中
金山公司紧急对外界通知:决定制作《“冲击波”整体解决方案包》光盘免费向全社会派发。据悉,首批2万套光盘昨日已进入生产,可望明天就可以赶赴全国各地。
随着冲击波病毒进一步泛滥,感染率直线上升。没有清除病毒和给系统打补丁国内用户全面置身于威胁当中。由于该病毒的感染现象是用户上网发生重启以及倒计时推出,更是严重影响网络传输速度。目下网上的种种解决方案会有相当部分的用户无法顺利得到。
另外,众所周知该病毒是针对Windows RPC服务漏洞进行攻击的病毒,所有使用Windows NT、Windows 2000、Windows XP、Windows Server2003的用户都需要完成补丁安装才能确保不受重复感染,对于众多普通用户完成相应程序以及相应语言补丁下载具有知识和时间上的障碍。
再有,完成病毒解决还需要有金山网镖这样的高级个人网络防火墙进行关闭端口的步骤。以及在未来几天内更有可能会出现各种“冲击波”变种病毒的出现。为确保国内计算机个人及企业用户的信息安全,早在8月3日便全国首家截获病毒的著名反病毒厂商金山公司经过紧急讨论决定耗资赶制一批包含“冲击波”专杀工具,各种系统补丁,金山毒霸V、金山网镖V试用程序,以及近年来其它诸如“求职信”、“尼姆达”、“蠕虫王”等病毒的专杀工具打包成《“冲击波”整体解决方案包》,免费在各大中城市的软件专卖店进行免费发放。此举将给广大个人、企业用户带来及时有效的防范。同时,金山公司发言人还声称将于近期开展面向中国10 万企业举办大规模的金山毒霸网络版的免费发放工作,以进一步提升全社会尤其是可能损失更大的企业用户的信息安全意识和水平。
|
|