首頁 > 校園新聞
Msblast疾風病毒讓全球用戶急瘋了 文化大學受損輕微
文/許家豪 攝影/曾威誌 2003/8/14列印
惱人的病毒又來了!一隻名為「疾風病毒Msblast 」的電腦病毒,昨日突然橫掃全球微軟Windows作業系統,速度之快,僅國內受感染的企業估計就達百家以上,感染電腦數也在五千八百台以上。所幸此次病毒對文化大學所造成的影響並不嚴重,文大資訊中心的林又新組長指出,文大資中主要的部分都不會被入侵,但是學校的外圍單位和學生被病毒侵入的機會就較高了,由於這隻病毒傳染力極高,林組長叮嚀同學們平常要常用電腦軟體來掃毒,並且常更新windows update來做預防。
以下是 Msblast 駭蟲 的發病行為:
1. 利用已知的 DCOM/RPC Buffer Overflow 漏洞,透過 TCP port 135 入侵 Windows NT/2000/XP/2003.NET 系統。
2. 打開一個 TCP port 4444 ,並利用 TFTP 從遠端中毒的電腦下傳一個 Msblast.exe 檔案到 Windows 的 System32 目錄內執行。
3. 修改註冊值,使開機即啟動駭蟲。
4. 隨機產生 IP 入侵其它電腦。
5. 開啟 UDP port 69 成 TFTP 伺服器,讓遠端電腦可以下傳 Msblast.exe
6. 2003年8月16日,開始對微軟的 windowsupdate.com 網站發出阻斷式攻擊,讓使用者無法順利連上微軟更新。
7. 電腦的複製、貼上功能會失效。
8. 部分電腦的 Svchost 會執行失敗,造成 RPC Service 錯誤,讓電腦不停的重開機。
9. 駭蟲內含訊息(沒有顯示出來):
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!


要如何知道你的電腦中毒了呢?首先尋找 Windiows 的 System32 目錄下,如果有 Msblast.exe 檔案,代表駭蟲已經進入,這也代表你的電腦已經淪陷啦!

因此,清除病毒的方法如下:
1. 開機至安全模式下(開機後,點選 F8,選擇安全模式進入)。
或開機至正常模式→將網路線拔除→至工作管理員將 Msblast 處理程序結束工作。
2. 刪除 Windows 的 System32 目錄下的 Msblast.exe 檔案。
3. 參考下面【如何在尚未更新漏洞前不受駭蟲入侵】,再進行漏洞修補,連上網才不會受到駭蟲再度攻擊。

如何在尚未更新漏洞前不受駭蟲入侵呢?只要停用電腦上的 DCOM,使用者可在未修補漏洞前不受到駭蟲入侵。

以下就是使用者關閉DCOM的方法:
1.開始→控制台→系統管理工具→元件服務
2.至我的電腦→按滑鼠右鍵→選內容
3.到【預設內容】→停用【在此電腦上啟用分散式 COM】
4.連上微軟網站進行程式修補動作。
漏洞修補程式位址:www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp
5.修補後再依同樣的步驟,重新開放【在此電腦上啟用分散式 COM】。

點閱人次:3190