关于W32.Blaster.Worm蠕虫(来自西交官方网站)

关于W32.Blaster.Worm蠕虫的紧急通知
( 2003-08-12 18:22:20 )
CCERT关于W32.Blaster.Worm蠕虫的公告（草案）
CCERT公告编号:2003-016
影响系统: Windows 2000, Windows XP / Windows 2003
CVE参考: CAN-2003-0352
McAfee 命名为：W32/Lovsan.worm
简单描述：
W32.Blaster.Worm 是一种利用DCOM RPC 漏洞进行传播的蠕虫，传播能力很强。
详细描述请参照Microsoft Security Bulletin MS03-026
( target=_blank>http://www.microsoft.com/technet/security/bulletin/MS03-026.asp)
感染蠕虫可能导致系统不稳定，有可能造成系统崩溃 ，它扫描端口号是TCP/135,
传播成功后他会利用tcp/4444和UDP 69端口下载并运行它的代码程序Msblast.exe.
这个蠕虫还将对windowsupdate.com进行拒绝服务攻击。这样做的目的是为了不能使您
及时地得到这个漏洞的补丁
CCERT正在分析蠕虫的传播机理。

网络控制方法：
如果您不需要应用这些端口来进行服务，为了防范这种蠕虫，你应该在防火墙上阻塞TCP port 4444 , 和下面的端口:
TCP 4444 蠕虫开设的后门端口，用于远程控制
UDP Port 69, 用于文件下载
TCP Port 135, 微软：DCOM RPC
计算机处理办法：
蠕虫攻击不成功可能导致系统出现了不正常，比如拷贝、粘贴功能不工作，RPC服务停止；
建议你重新启动计算机，立刻打补丁（下载地址见下文）；
如果你的系统被感染了，系统可能出现如下特征：
1. 被重启动；
2. 用netstat 可以看到大量tcp 135端口的扫描；
3. 系统中出现文件： %Windir%\system32\msblast.exe
4. 系统工作不正常，比如拷贝、粘贴功能不工作，IIS服务启动异常等；

手动删除办法：

1. 检查、并删除文件: %Windir%\system32\msblast.exe
2. 打开任务管理器，停止以下进程 msblast.exe
3. 进入注册表（“开始->运行：regedit)
找到键值：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
在右边的栏目, 删除下面键值:
"windows auto update"="msblast.exe"
4. 给系统打补丁（否则很快被再次感染）

补丁下载
http://www.xjtu.edu.cn/xjnet/nic/fix/patch.html

2000里边我没试过
不过好像是针对不同版本的
xp里边好像就有英文版的

警惕程度：★★★★
发作时间：随机
病毒类型：蠕虫病毒
传播途径：网络/RPC漏洞
依赖系统: WINDOWS 2000/XP
病毒介绍：
该病毒于8月12日被瑞星全球反病毒监测网率先截获。病毒运行时会不停地利用IP扫描技术寻找网络上系统为Win2K或XP的计算机，找到后就利用DCOM
RPC缓冲区漏洞攻击该系统，一旦攻击成功，病毒体将会被传送到对方计算机中进行感染，使系统操作异常、不停重启、甚至导致系统崩溃。另外，该病毒还会对微软的一个升级网站进行拒绝服务攻击，导致该网站堵塞，使用户无法通过该网站升级系统。在8月16日以后，该病毒还会使被攻击的系统丧失更新该漏洞补丁的能力。
病毒的发现与清除：
1.
病毒通过微软的最新RPC漏洞进行传播，因此用户应先给系统打上RPC补丁，补丁地址：http://it.rising.com.cn/newSite/Channels/info/virus/TopicDatabasePackage/12-145900547.htm
2.
病毒运行时会建立一个名为：“BILLY”的互斥量，使病毒自身不重复进入内存，并且病毒在内存中建立一个名为：“msblast”的进程，用户可以用任务管理器将该病毒进程终止。
3.
病毒运行时会将自身复制为：%systemdir%\msblast.exe,用户可以手动删除该病毒文件。
注意：%Windir%是一个变量，它指的是操作系统安装目录，默认是：“C:\Windows”或：“c:\Winnt”,也可以是用户在安装操作系统时指定的其它目录。%systemdir%是一个变量，它指的是操作系统安装目录中的系统目录，默认是：“C:\Windows\system”或：“c:\Winnt\system32”。
4.
病毒会修改注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项，在其中加入："windows
auto
update"="msblast.exe"，进行自启动，用户可以手工清除该键值。
5.
病毒会用到135、4444、69等端口，用户可以使用防火墙软件将这些端口禁止或者使用“TCP/IP筛选”
功能，禁止这些端口。
用户如果在自己的计算机中发现以上全部或部分现象，则很有可能中了冲击波（Worm.Blaster）病毒。

我已经感染了，每次进去现在都是显示winlogon.exe错误，点击确定后就自动重启，连系统都进不了，怎么办啊？我是2000的

谢谢你的提醒。但是你给的补丁连接里面哪个才是2000的补丁？