Msblast疾風病毒讓全球用戶急瘋了 文化大學受損輕微 -- 資訊中心的林又新組長淺談文大應付與預防病毒 | |||
|
|||
|
|||
以下是 Msblast 駭蟲 的發病行為: 1. 利用已知的 DCOM/RPC Buffer Overflow 漏洞,透過 TCP port 135 入侵 Windows NT/2000/XP/2003.NET 系統。 2. 打開一個 TCP port 4444 ,並利用 TFTP 從遠端中毒的電腦下傳一個 Msblast.exe 檔案到 Windows 的 System32 目錄內執行。 3. 修改註冊值,使開機即啟動駭蟲。 4. 隨機產生 IP 入侵其它電腦。 5. 開啟 UDP port 69 成 TFTP 伺服器,讓遠端電腦可以下傳 Msblast.exe。 6. 2003年8月16日,開始對微軟的 windowsupdate.com 網站發出阻斷式攻擊,讓使用者無法順利連上微軟更新。 7. 電腦的複製、貼上功能會失效。 8. 部分電腦的 Svchost 會執行失敗,造成 RPC Service 錯誤,讓電腦不停的重開機。 9. 駭蟲內含訊息(沒有顯示出來): I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!! 要如何知道你的電腦中毒了呢?首先尋找 Windiows 的 System32 目錄下,如果有 Msblast.exe 檔案,代表駭蟲已經進入,這也代表你的電腦已經淪陷啦! 因此,清除病毒的方法如下: 1. 開機至安全模式下(開機後,點選 F8,選擇安全模式進入)。 或開機至正常模式→將網路線拔除→至工作管理員將 Msblast 處理程序結束工作。 2. 刪除 Windows 的 System32 目錄下的 Msblast.exe 檔案。 3. 參考下面【如何在尚未更新漏洞前不受駭蟲入侵】,再進行漏洞修補,連上網才不會受到駭蟲再度攻擊。 如何在尚未更新漏洞前不受駭蟲入侵呢?只要停用電腦上的 DCOM,使用者可在未修補漏洞前不受到駭蟲入侵。 以下就是使用者關閉DCOM的方法: 1.開始→控制台→系統管理工具→元件服務 2.至我的電腦→按滑鼠右鍵→選內容 3.到【預設內容】→停用【在此電腦上啟用分散式 COM】 4.連上微軟網站進行程式修補動作。 漏洞修補程式位址:www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp 5.修補後再依同樣的步驟,重新開放【在此電腦上啟用分散式 COM】。 |