小心病毒！！！

游客

新出现的利用微软远程调用漏洞的新病毒群，虽然早在七月份就已经发布了对应的补丁，但是很多人没有打补丁的习惯。新的补丁在win2k的系统上需要至少有SP2，建议打到sp4，不是危言耸听，我们办公室十一个人，只有我和我前几天给装系统的幸免，其余全部中奖。
详情见http://it.rising.com.cn/newSite/Channels/info/virus/TopicDatabasePackage/12-145900547.htm
微软win2k中文版补丁
<!-- m --><a class="postlink" href="http://microsoft.com/downloads/details.aspx?displaylang=zh-cnamp;FamilyID=C8B8A846-F541-4C15-8C9F-220354449117">http://microsoft.com/downloads/details. ... 0354449117</a><!-- m -->

游客

转贴
======
……
北京时间2003年08月12日，绿盟科技安全小组的HoneyPot监测到了一种新的攻击，绿盟科技安全小组火速对捕获的数据样本分析和研究，已经明确，这是一个针对MS06-026 Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞（http://www.nsfocus.net/index.php?ac...26补丁的Windows 2000、Windows XP、Windows 2003系统，不仅是服务器，也包括个人计算机在内，所以危害极大。

该蠕虫大小为6176字节。用LCC-Win32 v1.03编译，upx 1.22压缩，创建时间是2003年8月11日7点21分。

蠕虫感染系统后首先检测是否有名为\"BILLY\"的互斥体存在，如果检测到该互斥体，蠕虫就会退出，如果没有，就创建一个。

然后蠕虫会在注册表HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run中添加以下键值：
\"windows auto update\"=\"msblast.exe\"
以保证每次用户登录的时候蠕虫都会自动运行。
蠕虫还会在本地的UDP/69端口上建立一个tftp服务器，用来向其他受侵害的系统上传送蠕虫的二进制程序msblast.exe。
蠕虫选择目标IP地址的时候会首先选择受感染系统所在子网的IP，然后再按照一定算法随机在互连网上选择目标攻击。
一旦连接建立，蠕虫会向目标的TCP/135端口发送攻击数据。如果攻击成功，会监听目标系统的TCP/4444端口作为后门，并绑定cmd.exe。然后蠕虫会连接到这个端口，发送tftp命令，回连到发起进攻的主机，将msblast.exe传到目标系统上，然后运行它。
蠕虫所带的攻击代码来自一个公开发布的攻击代码，当攻击失败时，可能造成没有打补丁的Windows系统RPC服务崩溃，Windows XP系统可能会自动重启。该蠕虫不能成功侵入Windows 2003，但是可以造成Windows 2003系统的RPC服务崩溃，默认情况下，这将使系统重启。
蠕虫检测到当前系统月份是8月之后或者日期是15日之后，就会向微软的更新站点\"windowsupdate.com\"发动拒绝服务攻击。也就是说，从2003年8月16日开始就会一直进行拒绝服务攻击。

蠕虫代码中还包含以下文本数据：
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!

解决方法：
==========
* 检测是否被蠕虫感染：

1、检查系统的%systemroot%\\system32目录下是否存在msblast.exe文件。
2、检查注册表HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run。
请在命令提示符中按照下面键入：
C:\\ gt;regedit /e tmp.txt HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
C:\\ gt;type tmp.txt
如果被感染，那么您可以看到类似的显示结果：
C:\\ gt;type tmp.txt
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]
\"windows auto update\"=\"msblast.exe\"
3、在任务管理器中查看是否有msblast.exe的进程。如果有，说明蠕虫正在您的系统上运行。

*清除
如果发现系统已经被蠕虫感染，我们建议您按照以下步骤手工清除蠕虫：
1、按照上述“预防蠕虫感染”的方法安装补丁。
2、点击左下角的“开始”菜单，选择“运行”，在其中键入“taskmgr”，点击“确定”。这样就启动了任务管理器。在其中查找msblast.exe进程，找到后在进程上单击右键，选择“结束进程”，点击“是”。
3、删除系统目录下的msblast.exe。
4、点击左下角的“开始”菜单，选择“运行”，在其中键入“regedit”，点击“确定”。这样就启动注册表编辑器。在注册表中找到HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run，删除其下的\"windows auto update\"=\"msblast.exe\"。
5、重新启动系统。