[轉錄](轉貼)[解除病毒] 重要!! 請大家盡快裝 Patch !! (新版)
※ [本文轉錄自 jeross 信箱]
作者: ub2.bbs@bbs.ntu.edu.tw
標題: (轉貼)[解除病毒] 重要!! 請大家盡快裝 Patch !! (新版)
時間: Tue Aug 12 20:42:39 2003
作者: bluesunshine (親愛的猶大) 看板: Virus
標題: (轉貼)[解除病毒] 重要!! 請大家盡快裝 Patch !! (新版)
時間: Tue Aug 12 10:05:29 2003
作者: chunhan (Hook Club INC.) 看板: nctu.talk
標題: [解除病毒] 重要!! 請大家盡快裝 Patch !! (新版)
時間: Tue Aug 12 09:09:34 2003
目前已經有 DCOM RPC 的漏洞被不肖分子所利用, 撰寫出分散式攻擊的程式,
被攻擊的電腦將常駐一個軟體, 不但開啟後門並且自動持續攻擊其他台電腦!!
目前 Symantec 公司已經將其命名為 W32.Blaster.Worm,美國的網站資料已經
更新,但台灣的網站還沒有。
網址在:
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html
該蠕蟲作者有計畫地將中毒的電腦於 8/15 開始,持續攻擊 windowsupdate.com 網站。
已經確定全系列的 NT-Based 系統皆受影響.
Windows 2000 從 SP0, SP1, SP2, SP3, SP4 全部受影響.
Windows XP 從 SP0, SP1 全部受影響.
Microsoft Windows NTR 4.0
Microsoft Windows NT 4.0 Terminal Services Edition
Microsoft Windows Server? 2003
========================================================================
!! 怎樣確定自己的電腦已經中毒 ?
* 如果你的電腦動不動就跟你說要重新開機 (60 秒)
* 或是:
[開始]->執行->Taskmgr.exe [ENTER] 後, 看一下有沒有 MSBLAST.EXE 這個
程式正在運作, 如果有, 也表示你已經中毒!
!! 中毒解毒程序: (確定這樣的解法沒有問題)
0 . 開始->執行->CMD.EXE [ENTER] (開啟Command line 視窗)
若系統跟你說要重新開機了, 請輸入shutdown -a [enter] 取消重新開機指令.
1 . 刪除 MSBLAST.EXE 這個 Process (直接在上面按右鍵, 選結束處理程序即可)
2 . 到微軟官方網站抓 DCOM RPC 的漏洞 Patch, 先存到硬碟去.
微軟官方網站:
http://www.microsoft.com/technet/security/bulletin/MS03-026.asp
我已經 Mirror 一份到 http://w3.cis92.net/rpc/ 下面.
(在交大裡面, 只有 W2K 和 XP)
w2k 裡面的 CHT 表示中文版本, EN 表示英文版本
xp 也是一樣的.
3 . 拔掉網路線
4 . 用檔案總管, 到 Windows\System32 這個目錄下面找到 MSBLAST.EXE,
按右鍵選內容將唯讀取消掉, 然後把這個程式幹掉.
5 . 開始->執行->regedit.exe , 並且到:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下面
將右邊的 "windows auto update" 這個鍵值直接砍掉, 砍掉後關閉登陸編輯程式.
6 . 執行你剛剛所抓下來的 Patch
7 . 重新開機
8 . 接上網路線, 大功告成.
有問題請直說沒有關係 :)
ps. 別忘了,若您的電腦沒有中毒,也請盡快灌 Patch :)
by Chen Chun-han @ CIS92.
--
我長得令你難以想像是吧!
你還敢再看,並想像我真正的模樣嗎?
我這個醜陋的怪物啊!
雖被地獄業障之火所燒,
但心中仍嚮往著....那一片.....令人憧憬的天堂
個人新聞台:http://mypaper1.ttimes.com.tw/user/blueshell/index.html
--
☆ [Origin:椰林風情] [From: 61-224-11-169.hinet-ip.hine] [Login: **] [Post: **]
--
※ 發信站: 批踢踢實業坊(ptt.csie.ntu.edu.tw)
◆ From: 140.112.230.240