Windows 用户注意--紧急公告(要求置顶）

[这个贴子最后由雪狐在 2003/08/15 00:43am 第 8 次编辑]

Windows 用户注意:请阅读微软安全公告MS03-026 并立即安装补丁程序
　　微软发现了一个安全问题，它会导致攻击者能够远程危害运行 Microsoft　 Windows　的计算机的安全并完全控制该计算机。您可以通过安装 Microsoft 提供的这个更新来保护您的计算机。
以下产品需要更新：
Microsoft Windows NT 4.0 危害程度严重
Microsoft Windows 2000 危害程度严重
Microsoft Windows XP 危害程度严重
Windows Server 2003 危害程度严重

该修补程序Win XP版本的下载位置(带超链接)
下载区：
Windows NT 4.0 Server
Windows NT 4.0 Terminal Server Edition
Windows 2000
Windows XP 32 位版本 （中文）
Windows XP 64 位版本 （英文）
Windows Server 2003 32 位版本 （中文）
Windows Server 2003 64位版本 （英文）
如果发现系统已经被蠕虫感染，我们建议您按照以下步骤手工清除蠕虫：
  1、按照上述“预防蠕虫感染”的方法安装补丁。
  2、点击左下角的“开始”菜单，选择“运行”，在其中键入“taskmgr”，点击“确定”。这样就启动了任务管理器。在其中查找msblast.exe进程，找到后在进程上单击右键，选择“结束进程”，点击“是”。
  3、删除系统目录下的msblast.exe。
  4、点击左下角的“开始”菜单，选择“运行”，在其中键入“regedit”，点击“确定”。这样就启动注册表编辑器。在注册表中找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run，删除其下的"windows auto update"="msblast.exe"。
  5、重新启动系统。

技术说明：
远程过程调用 (RPC) 是 Windows 操作系统使用的一个协议。RPC 提供了一种进程间通信机制，通过这一机制，在一台计算机上运行的程序可以顺畅地执行某个远程系统上的代码。该协议本身是从 OSF（开放式软件基础）RPC 协议衍生出来的，只是增加了一些 Microsoft 特定的扩展。
RPC 中处理通过 TCP/IP 的消息交换的部分有一个漏洞。此问题是由错误地处理格式不正确的消息造成的。这种特定的漏洞影响分布式组件对象模型 (DCOM) 与 RPC 间的一个接口，此接口侦听 TCP/IP 端口 135。此接口处理客户端计算机向服务器发送的 DCOM 对象激活请求（例如通用命名约定 (UNC) 路径）。
为利用此漏洞，攻击者可能需要向远程计算机上的 135 端口发送特殊格式的请求。
减轻影响的因素：
为利用此漏洞，攻击者可能需要拥有向远程计算机上的 135 端口发送精心编造的请求的能力。对于 Intranet 环境，此端口通常是可以访问的；但对于通过 Internet 相连的计算机，防火墙通常会封堵 135 端口。如果没有封堵该端口，或者在 Intranet 环境中，攻击者就不需要有任何其他特权。
最佳做法是封堵所有实际上未使用的 TCP/IP 端口。因此，大多数连接到 Internet 的计算机应当封堵 135 端口。RPC over TCP 不适合在 Internet 这样存在着危险的环境中使用。像 RPC over HTTP 这样更坚实的协议适用于有潜在危险的环境。要详细了解有关为客户端和服务器保护 RPC 的详细信息，请访问http://msdn.microsoft.com/library/default.asp?url=/library/en-us/rpc/rpc/writing_a_secure_rpc_client_or_server.asp。
要了解有关 RPC 使用的端口的详细信息，请访问：http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/tcpip/part4/tcpappc.asp
故障现象：

解决方案:
在网络边界，用防火墙将135 TCP端口和4444 TCP端口封锁；并封锁UDP 69号端口。
在主机上，采用如下解决方案：
(一) 手工解决方法
1 被感染蠕虫的Windows 2000
a． 将MS03-026漏洞的补丁文件复制到本地
b． 将网线拔掉
c． 将进程列表的msblaster.exe进程杀掉
d． 命令行下重新启动rpcss服务:net start rpcss
e． 安装MS03-026的补丁
f． 将注册表 \HKLM\Software\Microsoft\Windows\CurrentVersion\Run 中的 Windows Update等字样的健值删除掉。
g． 重新启动机器。
h． 将网线还原。
2 没有感染蠕虫的windows 2000
a． 将MS03-026漏洞的补丁文件复制到本地
b． 将网线拔掉
c． 安装MS03-026的补丁
d． 重新启动机器。
e． 将网线还原。
3 Windows XP
a． 将XP MS03-026漏洞的补丁文件复制到本地
b． 将网线拔掉
c． 安装XP MS03-026的补丁
d． 重新启动机器。
e． 将网线还原。
////////////////////////////////////////////////
MS03-026补丁下载：
中文版：http://www3.cnns.net:90/windows2000chinese.exe
英文版：http://www3.cnns.net:90/windows2000english.exe
中文Windows XP版：http://www3.cnns.net:90/windowsxpchinese.exe
(二) 自动解决办法(适用于各个版本的Windows 2000)
1. 将网线拔掉
2. 点击运行安络自动补丁程序cnnskillrpc.exe
3. 操作完成以后，重新启动机器
4. 安装ms026补丁
5. 将网线还原,开机上网
安络科技紧急开发的自动补丁程序下载：
http://www3.cnns.net:90/cnnskillrpc.exe

晚了，病毒已经出来了。8月16日等着看好戏吧

什么意思？

virus80y
可以说清楚一点不？

Virus80y 你指的是这个吗？
在8月16日以后，该病毒还会使被攻击的系统丧失更新该漏洞补丁的能力。  

认真看一下,我ZT的病毒代码分析吧

我已经分析了你所发的代码！~
值得我们好好的反省一下！~

我的系统已经崩溃了,我的电脑中了,5555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555555!!!!!!!!!!!!!!!

Virus80y
加我的QQ可以么，我想和你一起研究研究病毒

我已经清毒了，还会有吗？

偶的没事，呵呵！！！

我的电脑现在还没有事.要是什么时候有病毒侵入的话,请通知一声,让我好有个准备

看看什么时间的帖子...