-- 資訊中心的林又新組長淺談文大應付與預防病毒
| 文/許家豪 攝影/曾威誌 【2003/8/14】 | 友善列印 |
|
| 文大資中的林又新組長表示,這次文大的受損情況輕微。 |
以下是 Msblast 駭蟲 的發病行為:
1. 利用已知的 DCOM/RPC Buffer Overflow 漏洞,透過 TCP port 135 入侵 Windows NT/2000/XP/2003.NET 系統。
2. 打開一個 TCP port 4444 ,並利用 TFTP 從遠端中毒的電腦下傳一個 Msblast.exe 檔案到 Windows 的 System32 目錄內執行。
3. 修改註冊值,使開機即啟動駭蟲。
4. 隨機產生 IP 入侵其它電腦。
5. 開啟 UDP port 69 成 TFTP 伺服器,讓遠端電腦可以下傳 Msblast.exe。
6. 2003年8月16日,開始對微軟的 windowsupdate.com 網站發出阻斷式攻擊,讓使用者無法順利連上微軟更新。
7. 電腦的複製、貼上功能會失效。
8. 部分電腦的 Svchost 會執行失敗,造成 RPC Service 錯誤,讓電腦不停的重開機。
9. 駭蟲內含訊息(沒有顯示出來):
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!
要如何知道你的電腦中毒了呢?首先尋找 Windiows 的 System32 目錄下,如果有 Msblast.exe 檔案,代表駭蟲已經進入,這也代表你的電腦已經淪陷啦!
因此,清除病毒的方法如下:
1. 開機至安全模式下(開機後,點選 F8,選擇安全模式進入)。
或開機至正常模式→將網路線拔除→至工作管理員將 Msblast 處理程序結束工作。
2. 刪除 Windows 的 System32 目錄下的 Msblast.exe 檔案。
3. 參考下面【如何在尚未更新漏洞前不受駭蟲入侵】,再進行漏洞修補,連上網才不會受到駭蟲再度攻擊。
如何在尚未更新漏洞前不受駭蟲入侵呢?只要停用電腦上的 DCOM,使用者可在未修補漏洞前不受到駭蟲入侵。
以下就是使用者關閉DCOM的方法:
1.開始→控制台→系統管理工具→元件服務
2.至我的電腦→按滑鼠右鍵→選內容
3.到【預設內容】→停用【在此電腦上啟用分散式 COM】
4.連上微軟網站進行程式修補動作。
漏洞修補程式位址:www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp
5.修補後再依同樣的步驟,重新開放【在此電腦上啟用分散式 COM】。