中獎 W32.Blaster.Worm

昨晚看著交大NCTU板上一堆九舍電腦被攻擊? 的文章,心裡還想著:「嗯,還有我有windows update的習慣。」早上起來,windows2000的反應就怪怪的了,還跳出了「RPC執行無效..XXX」,雖然沒有如板上說的自動關機,不過已經查覺到矛頭不對。再度上網一查,果然根據chunhan的文章檢查我的電腦,我……中獎了。

原來是為了怕踩到windows update地雷,我有把windows update的hotfix download下來之後放一陣子,等到沒聽到哀嚎聲,再安裝上去的習慣。而這個七月初就出現在我電腦裡的hotfix,卻因為七月份南征北討,而一直放在我的HD裡,就連昨天晚上我在檢視有沒有新的update時,還再考慮要不要過陣子再裝,結果…..

上次中獎記得是年代久遠的「很久很久以前」,那時的我有一陣子因為病毒久久未現身我的電腦,加上嫌常駐程式占資源,所以移除了常駐的防毒程式,直到某一天一重新開機……

資料全毀。

從此之後防毒軟體又乖乖地進了我的電腦。上了我的工具列。

這一次因為是Worm,所以防毒程式也沒有提醒我,不過切到WINNT/system32下時Norton Antivirus會對於msblast.exe這個壞傢伙提出警告,只是無法刪除balabala…

照著chunhan的文章,很快的,這Worm被請出了我手邊的所有電腦……

以下轉錄chunhan的文章

發信人: chunhan.bbs@Deer.twbbs.org (Hook Club INC.), 看板: NCTU
標  題: [解除病毒] 重要!! 請大家盡快裝 Patch !! (新版)
發信站: 小鹿鹿 BBS (Tue Aug 12 09:09:17 2003)
轉信站: EdenBBS!netnews.ee.nctu!ctu-peer!ctu-reader!news.nctu!abpe.org
Origin: news.math.nctu.edu.tw

目前已經有 DCOM RPC 的漏洞被不肖分子所利用, 撰寫出分散式攻擊的程式,

被攻擊的電腦將常駐一個軟體, 不但開啟後門並且自動持續攻擊其他台電腦!!

目前 Symantec 公司已經將其命名為 W32.Blaster.Worm,美國的網站資料已經

更新,但台灣的網站還沒有。

網址在:
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html

該蠕蟲作者有計畫地將中毒的電腦於 8/15 開始,持續攻擊 windowsupdate.com 網站。

已經確定全系列的 NT-Based 系統皆受影響.

Windows 2000 從 SP0, SP1, SP2, SP3, SP4 全部受影響.
Windows XP 從 SP0, SP1 全部受影響.
Microsoft Windows NTR 4.0
Microsoft Windows NT 4.0 Terminal Services Edition
Microsoft Windows Server? 2003

========================================================================
!! 怎樣確定自己的電腦已經中毒 ?

* 如果你的電腦動不動就跟你說要重新開機 (60 秒)

* 或是:

   [開始]->執行->Taskmgr.exe [ENTER] 後, 看一下有沒有 MSBLAST.EXE 這個

   程式正在運作, 如果有, 也表示你已經中毒!

!! 中毒解毒程序: (確定這樣的解法沒有問題)

0 . 開始->執行->CMD.EXE [ENTER] (開啟Command line 視窗)

    若系統跟你說要重新開機了, 請輸入shutdown -a [enter] 取消重新開機指令.

1 . 刪除 MSBLAST.EXE 這個 Process (直接在上面按右鍵, 選結束處理程序即可)

2 . 到微軟官方網站抓 DCOM RPC 的漏洞 Patch, 先存到硬碟去.

    微軟官方網站:
    http://www.microsoft.com/technet/security/bulletin/MS03-026.asp

    我已經 Mirror 一份到 http://w3.cis92.net/rpc/ 下面.
    (在交大裡面, 只有 W2K 和 XP)

    w2k 裡面的 CHT 表示中文版本, EN 表示英文版本

    xp 也是一樣的.

3 . 拔掉網路線

4 . 用檔案總管, 到 Windows\System32 這個目錄下面找到 MSBLAST.EXE,

    按右鍵選內容將唯讀取消掉, 然後把這個程式幹掉.

5 . 開始->執行->regedit.exe , 並且到:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下面

    將右邊的 "windows auto update" 這個鍵值直接砍掉, 砍掉後關閉登陸編輯程式.

6 . 執行你剛剛所抓下來的 Patch

7 . 重新開機

8 . 接上網路線, 大功告成.

有問題請直說沒有關係 :)

ps. 別忘了,若您的電腦沒有中毒,也請盡快灌 Patch :)

by Chen Chun-han @ CIS92.
--
※ Origin: 邪惡小鹿鹿  ◆ From: kde07.eic.nctu.edu.tw

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *

%d 位部落客按了讚: