网站首页  |  幼儿教育  |  中小学教育  |  电脑教育  |  英语教育  |  教育论文  |  家长教育 设为首页加入收藏联系投稿 
 位置: 中国教育学习网 > 电脑教育 > 操作系统 > Windows 2003 > 正文

关于冲击波蠕虫及其变种的病毒警报
字号:   


感染症状

如果计算机感染了此蠕虫病毒,您可能感觉不到任何症状,也可能会感觉到以下症状:
  • 您可能会收到以下错误信息:
    The Remote Procedure Call (RPC) service terminated unexpectedly.
    The system is shutting down.Please save all work in progress and log off.
    Any unsaved changes will be lost.
    This shutdown was initiated by NT AUTHORITY\SYSTEM.
  • 计算机可能会关机,或者反复重新启动(无固定的时间间隔)。
  • 在基于 Windows XP 或 Windows Server 2003 的计算机上会出现一个向 Microsoft 报告的选项对话框。
  • 如果您使用的是 Windows 2000 或 Windows NT,则可能会收到“Stop”(停止)错误信息。
  • 在 Windows\System32 文件夹下,您可能会发现名为 Msblast.exe、Nstask32.exe、Penis32.exe、Teekids.exe、Winlogin.exe、Win32sockdrv.dll 或 Yuetyutr.dll 的文件。
  • 可能会在计算机上找到异常文件 TFTP*。

技术细节

有关蠕虫程序对您计算机所作更改的技术细节,请联系您的防病毒软件供应商。有关蠕虫程序最初版对您计算机所作更改的技术细节,请访问以下 Microsoft Web 站点:

http://www.microsoft.com/technet/security/topics/virus/default.mspx

若要检测该病毒,请在 Windows\System32 文件夹中查找名为 Msblast.exe、Nstask32.exe、Penis32.exe、Teekids.exe、Winlogin.exe、Win32sockdrv.dll 或 Yuetyutr.dll 的文件;或从防病毒供应商处下载最新的防病毒软件签名,然后扫描计算机

若要搜索这些文件,请:
  1. 单击“开始”,单击“运行”,在“打开”框中键入 cmd ,然后单击“确定”。
  2. 在命令提示符处键入 dir %systemroot%\system32\ 文件名.扩展名 /a /s ,然后按 ENTER 键,其中 文件名.扩展名 为 Msblast.exe、Nstask32.exe、Penis32.exe、Teekids.exe、Winlogin.exe、Win32sockdrv.dll 或 Yuetyutr.dll。

    注意 :对这些文件名称的每一个,请重复第 2 步:Msblast.exe、Nstask32.exe、Penis32.exe、Teekids.exe、Winlogin.exe、Win32sockdrv.dll 和 Yuetyutr.dll。如果发现上述任何文件,则您的计算机可能感染了蠕虫。如果发现上述文件,请将其删除,然后按照本文“恢复”部分的步骤进行处理。若要删除文件,请在命令提示符处键入 del %systemroot%\system32\ 文件名.扩展名 /a ,然后按 ENTER 键。

防范措施

要防止计算机感染此病毒,请按以下步骤进行:
  1. 打开 Windows XP、Windows Server 2003 标准版和 Windows Server 2003 企业版中的 Windows 防火墙功能;或使用“基本防火墙”、Microsoft Internet Security and Acceleration (ISA) Server 2000 或第三方防火墙,来关闭 TCP 端口 135、139、445 和 593,关闭 UDP 端口 69 (TFTP)、135、137 和 138,以及用于远程命令外壳程序的 TCP 端口 4444。

    若要打开 Windows XP 或 Windows Server 2003 中的 Windows 防火墙,请按照下列步骤操作:
    1. 单击“开始”,然后单击“控制面板”。
    2. 在“控制面板”中,双击“网络和 Internet 连接”,然后单击“网络连接”。
    3. 右击您想要打开 Windows 防火墙的连接,然后单击“属性”。
    4. 单击“高级”选项卡,然后单击以选中“通过限制或阻止来自 Internet 的对此计算机的访问来保护我的计算机和网络”复选框。
    注意 :某些拨号连接可能不会在“网络连接”文件夹中显示出来。例如,AOL 和 MSN 拨号连接就可能不会显示出来。在某些情况下,您可使用下列步骤打开“网络连接”文件夹中未显示连接的 Windows 防火墙。如果这些步骤不起作用,请和您的 Internet 服务供应商 (ISP) 联系,获取如何给 Internet 连接添加防火墙的信息。
    1. 启动 Internet Explorer。
    2. 在“工具”菜单上,单击“Internet 选项”。
    3. 单击“连接”选项卡,单击您用于连接到 Internet 的拨号连接,然后单击“设置”。
    4. 在“拨号设置”区域,单击“属性”。
    5. 单击“高级”选项卡,然后单击以选中“通过限制或阻止来自 Internet 的对此计算机的访问来保护我的计算机和网络”复选框。
    有关如何打开 Windows XP 或 Windows Server 2003 中的 Windows 防火墙的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:

    283673 如何在 Windows XP 中启用或禁用 Windows 防火墙

    注意 :只有在 Windows XP、Windows Server 2003 标准版和 Windows Server 2003 企业版上提供了 Windows 防火墙。“基本防火墙”是“路由和远程访问”的组件,对于既运行“路由和远程访问”又运行 Windows Server 2003 系列操作系统之一的计算机上的任何公共接口,都可启用“路由和远程访问”。
  2. 此蠕虫病毒使用一个以前公布的漏洞作为其中一种感染手段。因此,您必须确保在所有计算机上都安装了 823980 安全修补程序,以便修复在 Microsoft 安全公告 MS03-026 中指出的漏洞。请注意,824146 安全修补程序替代了 823980 安全修补程序。Microsoft 建议您安装 824146 安全修补程序,它还可以解决 Microsoft 安全公告 MS03-026 (823980) 中指出的问题。 有关 824146 安全修补程序的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:

    824146 MS03-039:RPCSS 中的缓冲区溢出使攻击者可以运行恶意程序

    有关 823980 安全修补程序和先决条件(如用于 Windows 版本的 Service Pack)的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:

    823980 MS03-026:RPC 接口中的缓冲区溢出可能提供代码执行机会

    要下载 824146 安全修补程序,请单击与您的操作系统对应的链接:
    • Windows NT Workstation 4.0

      http://download.microsoft.com/download/3/0/c/30cff3cd-414d-4754-b9db-276de8161eef/WindowsNT4Workstation-KB824146-x86-ENU.EXE

    • Windows NT Server 4.0

      http://download.microsoft.com/download/6/2/1/6216d162-1283-4e05-a505-3dc67b70155c/WindowsNT4Server-KB824146-x86-ENU.EXE

    • Windows NT Server 4.0 终端服务器版

      http://download.microsoft.com/download/8/b/5/8b534384-5ce7-482d-8886-7c3dac565f51/WindowsNT4TerminalServer-KB824146-x86-ENU.EXE

    • Windows 2000

      http://download.microsoft.com/download/0/A/6/0A634E35-F29A-4F26-B006-D315E898EDEF/Windows2000-KB824146-x86-ENU.exe

    • Windows XP Home Edition、Windows XP Professional、Windows XP Tablet PC Edition 和 Windows XP Media Center Edition

      http://download.microsoft.com/download/C/D/D/CDD7AC92-E4CC-4B1E-BC2F-7A61B46B23BF/WindowsXP-KB824146-x86-ENU.exe

    • Windows XP 64-Bit Version 2002

      http://download.microsoft.com/download/A/C/E/ACE7FE00-4BF7-4421-8CCF-2913395500AA/WindowsXP-KB824146-ia64-ENU.exe

    • Windows Server 2003(32 位)

      http://download.microsoft.com/download/5/7/D/57D367EB-EE72-41D6-99EC-E96724655976/WindowsServer2003-KB824146-x86-ENU.exe

    • Windows Server 2003 (64 位)和 Windows XP 64 位 2003 版

      http://download.microsoft.com/download/0/B/2/0B2C9630-2E93-4074-94CC-E418B93646DC/WindowsServer2003-KB824146-ia64-ENU.exe

  3. 使用从您的防病毒软件供应商处获得的最新病毒检测特征库来检测新病毒及其变种。

Recovery

根据最佳安全防护方法的建议,您应在系统安全曾被破坏过的计算机上执行一次完全“干净”的安装,以便清除掉可能会在将来危及系统安全的任何隐藏利用形式。有关其他信息,请访问下面的 Cert Advisory Web 站点:

http://www.cert.org/tech_tips/win-unix-system_compromise.html

但是,许多防病毒公司已经编写了一些工具,用来清除与这个特别的蠕虫程序相关的已知代码。要从防病毒软件供应商处下载清除工具,请根据您的操作系统情况执行下面的过程

Windows XP、Windows Server 2003 标准版和 Windows Server 2003 企业版的恢复措施

  1. 打开 Windows XP、Windows Server 2003 标准版和 Windows Server 2003 企业版中的 Windows 防火墙功能;或使用“基本防火墙”、Microsoft Internet Security and Acceleration (ISA) Server 2000 或第三方防火墙。

    若要打开 Windows 防火墙,请按照下列步骤操作:
    1. 单击“开始”,然后单击“控制面板”。
    2. 在“控制面板”中,双击“网络和 Internet 连接”,然后单击“网络连接”。
    3. 右击您想要打开 Windows 防火墙的连接,然后单击“属性”。
    4. 单击“高级”选项卡,然后单击以选中“通过限制或阻止来自 Internet 的对此计算机的访问来保护我的计算机和网络”复选框。
    注意:
    • 如果在按照这些步骤操作时,您的计算机关机或反复重新启动,则在打开防火墙前,断开和 Internet 的连接。如果是通过宽带连接到 Internet 的,请找出接到外部 DSL 或电缆调制解调器的电缆,然后将其从调制解调器或电话插孔上拔掉。如果您使用的是拨号连接,请找出从计算机内部的调制解调器连到电话插孔的电话线,然后将其从电话插孔或计算机上拔掉。如果无法断开和 Internet 的连接,请在命令提示符处键入以下命令行,以将 RPCSS 配置为在服务失败时不重新启动计算机

      sc failure rpcss reset= 0 actions= restart

      要在完成这些步骤后将 RPCSS 重设为默认的恢复设置,请在命令提示符处键入以下命令行:

      sc failure rpcss reset= 0 actions= reboot/60000

    • 如果多台计算机共享一个 Internet 连接,则只在直接连接到 Internet 的计算机上使用防火墙。不要在共享 Internet 连接的其他计算机上使用防火墙。如果您运行的是 Windows XP,请使用“网络安装向导”打开 Windows 防火墙。
    • 使用防火墙将不会影响您的电子邮件服务或 Web 浏览,但是防火墙可能会禁用一些 Internet 软件、服务或功能。如果发生这种情况,可能必须打开防火墙上的一些端口,供某些 Internet 功能使用。请参见不工作的 Internet 服务中包含的文档,以确定必须打开哪些端口。请参见防火墙中包含的文档,确定如何打开这些端口。 有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:

      308127 如何在 Windows XP 中手动打开 Windows 防火墙中的端口

    • 在某些情况下,您可使用下列步骤打开“网络连接”文件夹中未显示连接的 Windows 防火墙。如果这些步骤不起作用,请和您的 Internet 服务供应商 (ISP) 联系,获取如何给 Internet 连接添加防火墙的信息。
      1. 启动 Internet Explorer。
      2. 在“工具”菜单上,单击“Internet 选项”。
      3. 单击“连接”选项卡,单击您用于连接到 Internet 的拨号连接,然后单击“设置”。
      4. 在“拨号设置”区域,单击“属性”。
      5. 单击“高级”选项卡,然后单击以选中“通过限制或阻止来自 Internet 的对此计算机的访问来保护我的计算机和网络”复选框。
    有关如何打开 Windows XP 或 Windows Server 2003 中的 Windows 防火墙的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:

    283673 如何在 Windows XP 中启用或禁用 Windows 防火墙

    注意 :只有在 Windows XP、Windows Server 2003 标准版和 Windows Server 2003 企业版上提供了 Windows 防火墙。基本防火墙是“路由和远程访问”的组件,对于既运行“路由和远程访问”、又属 Windows Server 2003 系列产品的计算机上的任何公共接口,都可启用“路由和远程访问”。
  2. 请下载 824146 安全修补程序,然后将其安装在您的所有计算机上,以修复 Microsoft 安全公告 MS03-026 和 MS03-039 中指出的漏洞。若要下载 824146 安全修补程序,请单击相应的链接:

    Windows XP Home Edition、Windows XP Professional、Windows XP Tablet PC Edition 和 Windows XP Media Center Edition

    http://download.microsoft.com/download/C/D/D/CDD7AC92-E4CC-4B1E-BC2F-7A61B46B23BF/WindowsXP-KB824146-x86-ENU.exe

    Windows XP 64-Bit Version 2002

    http://download.microsoft.com/download/A/C/E/ACE7FE00-4BF7-4421-8CCF-2913395500AA/WindowsXP-KB824146-ia64-ENU.exe

    请注意,824146 安全修补程序替代了 823980 安全修补程序。Microsoft 建议您安装 824146 安全修补程序,它还可以解决 Microsoft 安全公告 MS03-026 (823980) 中指出的问题 有关 824146 安全修补程序的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:

    824146 MS03-039:RPCSS 中的缓冲区溢出使攻击者可以运行恶意程序

    有关 823980 安全修补程序的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:

    823980 MS03-026:RPC 接口中的缓冲区溢出可能提供代码执行机会

  3. 请安装或更新您的防病毒特征库软件,然后彻底扫描系统。
  4. 请从您的防病毒供应商处下载并运行蠕虫程序清除工具。

Windows 2000 和 Windows NT 4.0 的恢复措施

“Windows 防火墙”功能在 Windows 2000 或 Windows NT 4.0 中不可用。如果 Microsoft Internet Security and Acceleration (ISA) Server 2000 或第三方防火墙不能用来阻塞 TCP 端口 135、139、445、593 和 UDP 端口 69 (TFTP)、135、137、138 以及用于远程命令外壳程序的 TCP 端口 4444,请按照下列步骤操作来帮助阻塞用于局域网 (LAN) 连接的受影响端口。请注意,TCP/IP 筛选不能用于拨号连接。如果您使用拨号连接来连接到 Internet,则应启用防火墙。
  1. 配置 TCP/IP 安全。为此,请使用针对您的操作系统的步骤。

    Windows 2000
    1. 在“控制面板”中,双击“网络和拨号连接”。
    2. 右击您用于访问 Internet 的界面,然后单击“属性”。
    3. 在“此连接使用选中的组件”框中,单击“Internet 协议 (TCP/IP)”,然后单击“属性”。
    4. 在“Internet 协议 (TCP/IP) 属性”对话框里,单击“高级”。
    5. 单击 选项 选项卡。
    6. 单击“TCP/IP 筛选”,然后单击“属性”。
    7. 单击以选中“启用 TCP/IP 筛选(所有适配器)”复选框。
    8. 该窗口中一共有三列,分别带有以下标签:
      • TCP 端口
      • UDP 端口
      • IP 协议
      在每一列中,单击“仅允许”选项。
    9. 单击“确定”。

      注意:
      • 如果在按照这些步骤操作时,您的计算机关机或反复重新启动,则在打开防火墙前,断开和 Internet 的连接。如果是通过宽带连接到 Internet 的,请找出接到外部 DSL 或电缆调制解调器的电缆,然后将其从调制解调器或电话插孔上拔掉。如果您使用的是拨号连接,请找出从计算机内部的调制解调器连到电话插孔的电话线,然后将其从电话插孔或计算机上拔掉。
      • 如果多台计算机共享一个 Internet 连接,则只在直接连接到 Internet 的计算机上使用防火墙。不要在共享 Internet 连接的其他计算机上使用防火墙。
      • 使用防火墙将不会影响您的电子邮件服务或 Web 浏览,但是防火墙可能会禁用一些 Internet 软件、服务或功能。如果发生这种情况,可能必须打开防火墙上的一些端口,供某些 Internet 功能使用。请参见不工作的 Internet 服务中包含的文档,以确定必须打开哪些端口。请参见防火墙中包含的文档,确定如何打开这些端口。
      • 这些步骤是通过修改 Microsoft 知识库中编号为 309798 的文章的节选内容而得来的。 有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:

        309798 如何在 Windows 2000 中配置 TCP/IP 筛选

    Windows NT 4.0
    1. 在“控制面板”中,双击“网络”。
    2. 单击“协议”选项卡,单击“TCP/IP 协议”,然后单击“属性”。
    3. 单击“IP 地址”选项卡,然后单击“高级”。
    4. 单击以选中“启用安全”复选框,然后单击“配置”。
    5. 在“TCP 端口”、“UDP 端口”和“IP 协议”栏中,单击以选中“仅允许”设置。
    6. 单击“确定”,然后关闭网络工具。
  2. 请下载 824146 安全修补程序,然后将其安装在您的所有计算机上,以修复 Microsoft 安全公告 MS03-026 和 MS03-039 中指出的漏洞。若要下载 824146 安全修补程序,请单击相应的链接:

    Windows NT Workstation 4.0

    http://download.microsoft.com/download/3/0/c/30cff3cd-414d-4754-b9db-276de8161eef/WindowsNT4Workstation-KB824146-x86-ENU.EXE

    Windows NT Server 4.0

    http://download.microsoft.com/download/6/2/1/6216d162-1283-4e05-a505-3dc67b70155c/WindowsNT4Server-KB824146-x86-ENU.EXE

    Windows NT Server 4.0 终端服务器版

    http://download.microsoft.com/download/8/b/5/8b534384-5ce7-482d-8886-7c3dac565f51/WindowsNT4TerminalServer-KB824146-x86-ENU.EXE

    Windows 2000

    http://download.microsoft.com/download/0/A/6/0A634E35-F29A-4F26-B006-D315E898EDEF/Windows2000-KB824146-x86-ENU.exe

    请注意,824146 安全修补程序替代了 823980 安全修补程序。Microsoft 建议您安装 824146 安全修补程序,它还可以解决 Microsoft 安全公告 MS03-026 (823980) 中指出的问题 有关 824146 安全修补程序的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:

    824146 MS03-039:RPCSS 中的缓冲区溢出使攻击者可以运行恶意程序

    有关 823980 安全修补程序和先决条件(如用于 Windows 版本的 Service Pack)的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:

    823980 MS03-026:RPC 接口中的缓冲区溢出可能提供代码执行机会

  3. 请安装或更新您的防病毒特征库软件,然后彻底扫描系统。
  4. 请从您的防病毒供应商处下载并运行蠕虫程序清除工具。
有关参与 Microsoft 的 Virus Information Alliance(VIA,病毒信息联盟)的防病毒软件供应商对于此蠕虫病毒提供的其他技术细节,请访问以下任何一个第三方的 Web 站点:
  • Network Associates

    http://us.mcafee.com/virusinfo/default.asp?id=description&virus_k=100547

  • Trend Micro

    http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?vname=worm_msblast.a

  • Symantec

    http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html

  • Computer Associates

    http://www3.ca.com/virusinfo/virus.aspx?id=36265

注意 :如果您不必使用 TCP 筛选,则在您应用本文中介绍的修补程序并验证您已成功地删除该蠕虫后,您可能希望禁用 TCP 筛选。

有关冲击波蠕虫程序巳知变种的其他技术细节,请访问以下 Symantec Web 站点:
  • W32.Blaster.C.Worm:Teekids.exe

    http://www.sarc.com/avcenter/venc/data/w32.blaster.c.worm.html

  • W32.Blaster.B.Worm:Penis32.exe

    http://www.sarc.com/avcenter/venc/data/w32.blaster.b.worm.html

  • W32.Randex.E:Nstask32.exe、Winlogin.exe、Win32sockdrv.dll 和 Yyuetyutr.dll

    http://securityresponse.symantec.com/avcenter/venc/data/w32.randex.e.html

有关在感染此蠕虫病毒后如何恢复的其他信息,请联系您的防病毒软件供应商。

Microsoft 提供了第三方联系信息以便于您寻求技术支持。这些联系信息如有更改,恕不另行通知。Microsoft 不保证这些第三方联系信息的准确性。

参考

有关此蠕虫病毒的更多信息,请访问下面的 Microsoft Web 站点:

http://www.microsoft.com/security/incident/blast.asp

如果对于本警报有任何疑问,请联系您的 Microsoft 代表;或者,在美国请致电 1-866-727-2338 (1-866-PCSafety)。在美国以外请联系当地的 Microsoft 办事处。要获得与病毒相关问题的支持,请访问下面的 Microsoft 病毒支持新闻组 Web 站点:

news://msnews.microsoft.com/microsoft.public.security.virus

有关与安全问题相关的其他信息,请访问下面的 Microsoft Web 站点:

http://www.microsoft.com/china/security/default.asp

有关 Microsoft 安全公告 MS03-026 和 MS03-039 的其他与安全相关的信息,请访问下列 Microsoft Web 站点:

http://www.microsoft.com/china/security/Bulletins/MS03-026.asp
http://www.microsoft.com/china/security/Bulletins/MS03-039.asp

收藏此文  |  打印  

 
  • 上一篇教程:

  • 下一篇教程:

    •   GoogLe
    		 
      最新推荐
  • 此栏目下没有推荐教程
    		•

      最近更新
    普通教程 Win2003下安装Adobe Photoshop CS3 Extende
    普通教程 关于冲击波蠕虫及其变种的病毒警报
    普通教程 如何在 Windows中禁用 DCOM支持
    普通教程 在 Windows Server 2003 中安装 WINS
    普通教程 当NetBIOS在运行Windows Server 2003的服务
    普通教程 Services.exe 中的 CPU 使用率增至 100%
    普通教程 Windows 2000和Windows Server 2003时间服务
    普通教程 如何将DHCP数据库移动到运行Windows Server
    普通教程 创建 Active Directory
    普通教程 在 Windows Server 2003系列中以高于256色的
    普通教程 如何在Windows Server 2003中启用了Active 
    普通教程 如何在运行 Windows 终端服务器的计算机上安
    普通教程 在Windows Server 2003中安装Macintosh打印
    普通教程 将Win Server 2003 DNS与Win Server 2003中
    普通教程 如何使用 Windows Server 2003 终端服务连接

      GoogLe

     
    Powered by Cn-Education.Com (c) 2005-2008 中国教育学习网 教育网站长QQ交流群60041790
    设为首页  |  加入收藏  |  版权申明  |  广告服务  |  联系我们  |  友情链接  |  网站地图  |  返回顶部 ↑