关于新近流行的“冲击波”病毒

发信人: vunerable (我喜欢淡淡的忧郁), 信区: Virus
标  题: [转载] 官方对RPC的公告及补丁下载网址
发信站: 飘渺水云间 (Wed Aug 13 13:47:49 2003), 转信

【 以下文字转载自 ZJUOnline 讨论区 】
【 原文由 vunerable 所发表 】
Microsoft RPC接口远程任意代码可执行漏洞


CCERT编号:CCERT-2002-48
CERT/CC编号: CA-2003-16
CVE编号: CAN-2003-0352.
公告编者 : starry
发布时间: 2003-07-17 21:33
最后一次更新时间: 2003-07-17 21:42
公告来源: 微软安全公告（MS03-026)


详细描述:

Remote Procedure Call(RPC)是Windows操作系统使用的一种远程过程调用协议,RPC协议
提供一种进程间的交互通信机制，它允许本地机器上的程序进程无缝的在远程系统中运行


代码。该协议的前身是OSF RPC协议，但是增加了微软自己的一些扩展。

最近发现部分RPC在使用TCP/IP协议处理信息交换时不正确的处理畸形的消息导致存在一个
安全漏洞。该漏洞影响使用RPC的DCOM接口，这个接口用来处理由客户端机器发送给服务器
的DCOM对象激活请求(如UNC路径)。如果攻击者成功利用了该漏洞将获得本地系统权限，他
将可以在系统上运行任意命令，如安装程序、查看或更改、删除数据或者是建立系统管理员
权限的帐户等。

要利用这个漏洞，攻击者需要发送特殊形式的请求到远程机器上的135端口.

影响系统:

Microsoft Windows NT 4.0
Microsoft Windows NT 4.0 Terminal Services Edition
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server? 2003

风险:高
危害描述:

远程进入系统执行任意代码



解决方案:

Microsoft已经为此发布了一个安全公告（MS03-026）以及相应补丁，请尽快下载安装。
你可以到我们的网站上下在相关的安全补丁：

      winnt    http://www.ccert.edu.cn/pub/patch/MS/NT4_Cn/CHSQ823980i.EXE
      win2000  http://www.ccert.edu.cn/pub/patch/MS/win2000
               /Windows2000-KB823980-x86-CHS.exe
      winxp    http://www.ccert.edu.cn/pub/patch/MS/xp
               /WindowsXP-KB823980-x86-CHS.exe
      win2003  http://www.ccert.edu.cn/pub/patch/MS
               /WindowsServer2003-KB823980-x86-CHS.exe

发信人: paradiso (cinema), 信区: MSWindows
标  题: 自动重启/机器无法正常运作/Blast病毒解决方案
发信站: 南京大学小百合站 (Wed Aug 13 11:34:56 2003)


最近一种被称为“冲击波”(WORM_MSBlast.A)的蠕虫病毒在
网络中肆虐，造成了很大危害。
该蠕虫利用RPC DCOM缓冲溢出漏洞影响WinNT/2000/XP
被这种蠕虫感染后可能出现如下现象：

Generic Host Process for Win32 Servicers遇到问题需要关闭。
RPC服务意外中止
Word、Excel、Powerpoint无法正常运行
与Javascript有关的网页无法正常显示
计算机反复弹出程序错误，一分钟后重启的对话框
控制面板显示不正常
不能复制/粘贴
不能查看属性页


在IE里面无法用新窗口打开连接
等等。

具体细节及技术分析请参见各大网站相关页面，这里只讨论如何解决。

解决方法：

1.防止自动重启
  断开网络的情况下，是不会出现“还有一分钟关机”这种
  提示的。

  我们在这种情况下还是可以关掉这个重新启动的
  功能。具体做法：首先打开任务管理器，寻找一个叫做ms
  blast.exe的进程（如果找不到此进程，就略过杀毒这一
  步，直接打补丁）把它终止掉，然后打开控制面板->管理
  工具->服务，找到Remote Procedure Call (RPC)服务，打
  开他的属性，切换到“恢复”卡片，会看到“选择服务失
  败时计算机的反应”这么一行字，下面有三个列表，都是
  “重新启动计算机”。我们把这三个全都改成不操作，或
  者重新启动服务，然后按确定，这样再上网的时候就不会
  自动重起了。



  另一种比较简单的解决办法是在出现对话框之后迅速修改
  系统时间，这样就不会重启了。

2.终止恶意程序

　WindowsNT/2000/XP系统按CTRL+SHIFT+ESC打开Windows任
  务管理器，在运行的程序清单中查找进程“MSBLAST.EXE”，
  终止该进程的运行。

3.删除注册表中的自启动项目

　单击开始>运行,输入Regedit,然后按Enter键打开注册表编
  辑器在左侧面板中依次双击
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
  在右边的列表中查找并删除以下项目
  "Windows Auto Update"  = MSBLAST.EXE
  关闭注册表编辑器。

4.连上网络，下载微软的补丁然后安装

http://www.microsoft.com/china/technet/security/bulletin/MS03-026.asp



  注意：
  要下载和自己的系统一致的补丁。

  Win2K在安装之前必须安装Service Pack 2以上。
  可以到http://www.onlinedown.net/soft/13556.htm （2K中文版）
  南大校内用户可以到
ftp://thephy.nju.edu.cn/pub/WinSoft/OperationSystem/Win2000/W2Ksp4_CN/
  将你的2K升级到SP4。然后再安装相应补丁：
  http://202.112.50.180/dcom/win2000/Windows2000-KB823980-x86-CHS.exe
  http://bbs1.nju.edu.cn/file/Windows2000-KB823980-x86-CHS.exe

  对于WinXP的用户，是否安装SP1都可以并必要安装此补丁
  WinXP中文版的用户：
  http://bbs1.nju.edu.cn/file/WindowsXP-KB823980-x86-CHS.exe

  WinXP英文版的用户：
  http://bbs1.nju.edu.cn/file/WindowsXP-KB823980-x86-ENU.exe

  安装完了以后最好重起。

  同时可以使用Symantec的MBlast病毒专杀FixBlast进行查杀：
  http://bbs1.nju.edu.cn/file/FixBlast.exe


5.更新杀毒软件病毒库

  然后扫描一次系统盘，会扫出来两个文件病毒。
  如果没有杀毒软件的话也可以直接搜索msblast.exe
  然后删除。

晚了，中招啦，不能下ZAI了
都还没来得及就关机了
重装了

刚刚转的帖子不对，外网的下载地址还请朋友们自己搜索了。
Windows 2000的一般先安装sp4补丁（这个很大，128兆左右），然后打上最后几位数字为980的那个小补丁。
Win XP的用户也有专门的针对的补丁，但不需要什么sp3、sp4之类的了。
Win 98系统好象没关系，哈哈，成了亚西亚的孤儿~~~~~~~

重装了还是得安装补丁，这个东东好象有点厉害，传染力挺强

移除该病毒工具的下载地址：
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html

仔细看说明哦。因为有所谓“数字签名”的限制，最好直接从该处下载工具。

先关掉自动重启功能(可以直接在“运行”中执行：shutdown -a关闭此功能），然后用该工具移除病毒；XP用户还要先关闭SYSTEM RESTORE的功能，以免系统自动生成被感染文件的备份。


补丁下载：

Windows NT 4.0 Server ：
　　http://microsoft.com/downloads/details.aspx?FamilyId=2CC66F4E-217E-4FA7-BDBF-DF77A0B9303F&displaylang=en

Windows NT 4.0 Terminal Server Edition：
　　http://microsoft.com/downloads/details.aspx?FamilyId=6C0F0160-64FA-424C-A3C1-C9FAD2DC65CA&displaylang=en

Windows 2000：
　　http://microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=C8B8A846-F541-4C15-8C9F-220354449117

Windows XP 32 bit Edition ：
　　http://microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=zh-cn

Windows XP 64 bit Edition：
　　http://microsoft.com/downloads/details.aspx?FamilyId=1B00F5DF-4A85-488F-80E3-C347ADCC4DF1&displaylang=en

Windows Server 2003 32 bit Edition：
　　http://microsoft.com/downloads/details.aspx?FamilyId=F8E0FF3A-9F4C-4061-9009-3A212458E92E&displaylang=en

Windows Server 2003 64 bit Edition：
　　http://microsoft.com/downloads/details.aspx?FamilyId=2B566973-C3F0-4EC1-995F-017E35692BC7&displaylang=en




* 哪位知道如何在诺顿防火墙中修改网络端口的设置？找了半天，不得其门而入的说....

你为什么要特别的关闭某几个端口？既然你使用了防火墙，那么除了你自己授权使用的几个常用程序打开的端口外，对别的端口的探测和数据传送应该都被禁止了。我觉得通常不用再画蛇添足了

具体要禁止一些端口的话，应该在自定义IP规则里面，但是你得先弄清是TCP端口还是UDP端口等等（至于它们都是什么意思，甭去烦了）。比方说，如果有一些空规则留在那儿可以让你自己编辑，那问题就比较简单了。你给它打上勾，加上说明，将适用范围设置为“接收和发送”、“全部IP地址”，然后在下面某个框里选择适当端口，再确定是放行还是阻拦应该就可以了。一条不够的话可以多设两条规则，但注意不要把常用的几个端口给堵住了就好。（真有雅兴研究的话，可以用开始——程序——系统工具——系统信息——硬件资源——I/O找到已经被系统占用的端口，很多很多的，最好还是不要自己禁来禁去了，防火墙开好，别乱收邮件可以了）

哦，忘了顺便说一下，我没有用过这个诺顿的防火墙，因此上面的建议都是我臆想出来的，不能保证权威性，嘿嘿。

想知道如何关闭并不是说我现在就要关闭。未雨绸缪，总比出了问题在四处抓狂要强。
我的问题正是诺顿防火墙自定义IP规则的选项在什么地方。我找不到。至于TCP还是UDP，这点区别我还是知道的，呵呵，就不劳烦你给我上课啦。

打开防火墙的设置窗口，Norton personal firewall——status and settings——personal firewall——选择右边下方的“configure”——然后选最后一项“advanced”——general rules——add——block——connection to and from……——any computers——“only the types of communication or ports listed below”——“individually specified ports”，后面的不用说了

[此贴子已经被作者于2003-8-15 3:05:04编辑过]

好厉害，呵呵，BIRD以后要经常来这里上上课才好。