作者 主題: [轉錄]MicroSoft公司因應這次Blaster病毒文件  (閱讀 12061 次)

0 會員 與 1 訪客 正在閱讀本文。

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8829
    • 檢視個人資料
    • http://www.24online.cjb.net
原文來自於http://www.microsoft.com/taiwan/support/content/W32Blasrer.HTM
讓我們對於M$系統反應遲鈍表示遺憾....

------------------------

1.  病毒通知: W32.Blaster.Worm

2. 如何手動移除W32.Blaster.Worm
 
Q01:病毒通知: W32.Blaster.Worm
A:
 

影響產品:

Windows XP, Windows 2000, Windows Server 2003, Windows NT 4.0, NT 4.0 Terminal Services Edition

 

說明:

微軟安全反應中心已經發佈W32.Blaster.Worm的病毒通知。此病毒名稱對於不同的防毒軟體有不同的名稱定義W32/Lovsan.worm (McAfee), WORM_MSBLAST.A (Trendmicro), Win32.Posa.Worm (Computer Associates),您需要安裝微軟的安全性修正程式MS03-026以避免遭受病毒的攻擊。

 

造成的影響:

透過RPC Port來傳遞,遭受感染的機器會不斷的重新啟動,且在%systemroot%\System32 目錄底下您可以發現一個檔案名稱為msblast.exe

 

技術細節: 

此病毒會掃描您網段中的電腦,並透過TCP Port 135傳送病毒本身,如果目的端電腦沒有安裝MS03-026,此病毒將會感染此電腦,並在登錄檔中建立以下登錄值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "windows auto update" = msblast.exe  I just want to say LOVE  YOU SAN!! bill

 

中毒現象:

1. Windows 會無預期的重新開機.

2. 在%systemroot%\System32 目錄底下您可以發現一個檔案名稱為msblast.exe

3. 在系統中存在TFTP*的檔案

 

解決方法:

 

遭受病毒感染的解決步驟:

 

如果您不是Windows XP的用戶:

 

1. 開始, 執行, 輸入 cmd, 確定

2. 請從Windows XP 的電腦拷貝shutdown.exe,執行 shutdown -a ,來停止關機程序

3. 按 CTRL+SHIFT+ESC 後, 在工作管理員裡, 選擇此惡意程式的處理程序, 然後按下"結束處理程序"的按鈕

4. 請更新防毒軟體的病毒碼(如果客戶的系統沒有安裝防毒軟體,請連線到此網址執行線上掃瞄http://housecall.antivirus.com)。

5. 下載修正程式 MS03-026

   下載位址:http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp

6. 拔除網路線

7. 掃描您的系統確定沒有病毒存在(您可以下載您防毒軟體廠商所提供的清除工具來刪除病毒)

8. 安裝修正程式

9. 重新啟動電腦

10. 接上網路線

 

 

如果您是 Windows XP的用戶:

 

1. 開始, 執行, 輸入 cmd, 確定

2. 在 command prompt, 輸入 shutdown -a , 停止關機程序

3. 按 CTRL+SHIFT+ESC 後, 在工作管理員裡, 選擇此惡意程式的處理程序, 然後按下"結束處理程序"的按鈕

4. 請更新防毒軟體的病毒碼(如果客戶的系統沒有安裝防毒軟體,請連線到此網址執行線上掃瞄http://housecall.antivirus.com)。

5.下載修正程式 MS03-026

   下載位址:
http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp

6. 拔除網路線

7. 掃描您的系統確定沒有病毒存在(您可以下載您防毒軟體廠商所提供的清除工具來刪除病毒)

8. 安裝修正程式

9. 重新啟動電腦

10. 啟動 網際網路連線防火牆 (ICF). 參考文件:  http://support.microsoft.com/?id=283673

       手動啟動步驟如下:

a. 開啟控制台\開啟網路連線

b. 針對您的網路卡按滑鼠右鍵選內容

c. 點選進階標籤,網際網路連線防火牆 (ICF)], 請選取 [以限制或防止來自網際網路對這台電腦的存取來保護我的電腦]
核取方塊。

11. 接上網路線

 

 

尚未遭受病毒感染應採取的步驟:

 

為了確保您的系統不會遭受此病毒的攻擊,您需要安裝微軟的安全性修正程式MS03-026

下載位址:http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp

 

更多資訊:

 

您可以參考其他防毒軟體廠商所提供的相關資訊:

Network Associates:  http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=100547

Trend Micro:  http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.A

Symantec: http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html

Computer Associates: http://www3.ca.com/virusinfo/virus.aspx?ID=36265

For more information on Microsoft’s Virus Information Alliance please visit this link: http://www.microsoft.com/technet/security/virus/via.asp

如欲了解更多此病毒的相關資訊,請直接洽詢您的防毒軟體廠商
 
Q02:如何手動移除W32.Blaster.Worm
A:

1. 拔除網路線

2. 關閉惡性程式於記憶體中的處理程序.

    a. 開啟Windows工作管理員, 按CTRL+SHIFT+ESC, 點選處理程序標籤.
    b. 於正在執行的處理程序清單中, 找到下述執行檔:MSBLAST.EXE
    c. 選擇此惡意程式的處理程序, 然後按下"結束處理程序"的按鈕.
    d. 為了確認是否已經結束所有惡意程式的處理程序, 關閉工作管理員,然後再次開啟.
    e. 關閉工作管理員.

3. 移除登錄編輯程式中自動啟動的機碼

    移除登錄編輯程式中自動啟動的機碼可防止惡意程式在開機的時候自動執行.

    a. 開啟登錄編輯程式.點選開始>執行, 輸入REGEDIT, 然後按Enter.
    b. 在左側視窗中, 滑鼠雙擊下述路徑: HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
    c. 在右側視窗中,刪除此機碼: "windows auto update" = MSBLAST.EXE
    d. 關閉登錄編輯程式.

4. 移除病毒檔案

    a. 開啟檔案總管
    b. 在Windows\System32的目錄底下找到 Msblast.exe ,按滑鼠右鍵選刪除

5. 下載修正程式: http://www.microsoft.com/taiwan/security/bulletins/MS03-026.asp

6. 接上網路線
 
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8829
    • 檢視個人資料
    • http://www.24online.cjb.net
[轉錄]MicroSoft公司因應這次Blaster病毒文件
« 回覆 #1 於: 2003-08-13 13:10 »
為什麼表示遺憾呢? 請看這裡http://www.microsoft.com/taiwan/press/2003/0812.htm

-----------引文開始---------
 (2003 年 8 月 12 日,台北) 台灣微軟公司今 (十二) 日宣布,針對 W32.Blaster.Worm 的病毒,已提供安全性修正程式 MS03-026 於微軟網站上,請客戶儘快到  http://www.microsoft.com/taiwan/security/security_bulletins/ms03-026.asp 下載並且安裝,以避免遭受攻擊。

     台灣微軟公司表示,該安全性修正程式 MS03-026 已於今年 7 月 17 日公佈於微軟公司網站上,並且主動通知客戶下載,若用戶已安裝該修正程式即可免受此次病毒的威脅,請尚未安裝的客戶儘快下載並且安裝,以避免遭受攻擊。

     由於有部分企業尚未即時安裝安全性修正程式 MS03-026,導致遭受病毒影響,台灣微軟公司深表遺憾,目前已主動通知企業用戶及技術支援合約客戶,提醒他們重視此一病毒可能造成的影響與解決方案。台灣微軟公司並於本週 (8/12~8/15) 提供全天候 24 小時電話支援服務,有需要的用戶可以直撥 02-66359111 洽詢。或者可於上班時間透過微軟客服專線 02-66263366 洽詢。更多相關的技術支援訊息請參考網站:http://www.microsoft.com/taiwan/support/

--------------------------------------

我們看不到事先的系統警告, 我們這些使用者只有看到馬後炮....

1.我們只有看到, 微軟不願意承認自己系統錯誤與系統結構的脆弱程度.
2.此病毒的本體非常簡單, 但微軟的系統平台是如此輕易的就被放置一枚炸彈, 連系統反應都沒有.
3.既然美國總部有放出更新檔案, 為什麼拖到事情嚴重了, 才跟防毒業者一起出面說明?
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

shengeih

  • 鑽研的研究生
  • *****
  • 文章數: 970
    • 檢視個人資料
[轉錄]MicroSoft公司因應這次Blaster病毒文件
« 回覆 #2 於: 2003-08-13 14:22 »
代碼: [選擇]
上班時間透過微軟客服專線 02-66263366

沒有 080 的....!

我可不可以打去問看看,要怎麼學 Linux !!!!小姐會不會花轟!?

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8829
    • 檢視個人資料
    • http://www.24online.cjb.net
[轉錄]MicroSoft公司因應這次Blaster病毒文件
« 回覆 #3 於: 2003-08-13 14:32 »
引述: "shengeih"


沒有 080 的....!

我可不可以打去問看看,要怎麼學 Linux !!!!小姐會不會花轟!?


去微軟要求客服是要付費的唷...

去亂場人家可是很高興的呢!
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

shengeih

  • 鑽研的研究生
  • *****
  • 文章數: 970
    • 檢視個人資料
[轉錄]MicroSoft公司因應這次Blaster病毒文件
« 回覆 #4 於: 2003-08-13 14:37 »
引述: "日京三子"
引述: "shengeih"


沒有 080 的....!

我可不可以打去問看看,要怎麼學 Linux !!!!小姐會不會花轟!?


去微軟要求客服是要付費的唷...

去亂場人家可是很高興的呢!



啥付費.....!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
這樣要付費....><"


abelyang

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 1097
    • 檢視個人資料
[轉錄]MicroSoft公司因應這次Blaster病毒文件
« 回覆 #5 於: 2003-08-13 15:15 »
其實~~各位的報怨是有道理的~
不過反過來說~那個系統沒有 Bug 呢 ? (MS 特別多,特別嚴重而以)
恕我直言,重要的是個人有沒有觀念....
在反應時間內是否做到了 MIS 該做的事 (如: Romen/Lion/CodeRed/Nimda/Slapper/....)
這些 worm 都是根據巳被公佈的漏洞寫成的,到 Worm 的形成時間也都至
少有半個月....這半個月大家在做什麼 ? 食少事繁 ? 多一事不如少一事 ?

當然~大多數人可能不知道有這樣的 bug 存在, 可能不知道其可能嚴重性
但是當一個  MIS , 這些不都是應注意的嗎 ? 我相信,今天中這個 WORM 的
在過去一定也中過類似的 worm, 是不是應該記取教訓呢 ?

當我們在咒罵 M$ 時,不可否認的,自己是否有不足的地方 ?
M$ 成重矢之的時,當然不敢吭聲....

我個人的經驗是 當收到 CERT 或其他單位的 Advirsory 時, 若與我的單位
環境有關, 我一定在第一時間就更新或採取預防措施, 即使是臨時加班也是
留下來做到完,畢意這是一場與時間賽跑的工作,更是維運的一大工作

從過去到現在的 Worm 或 Email Virus, 根據我訂的 rule ,提報老板知道,
並認可後,這兩三年來, 我們單位幾乎沒有中過 Email Virus , Internet Worm
因為在時間的掌握上, 我個人都要求一定要在第一時間反應
而不是心存僥倖,這也是一個 MIS (網管...) 該做的,不是嗎 ?

花了錢買 M$ 的東西,可是一大堆 bug, virus,worm ...本來就是受罪,
但不能改變 M$, 是不是該改變自己呢 ?

沒有其他意思, 只是提供大家參考, 反求諸己,才是正解

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17463
    • 檢視個人資料
    • http://www.study-area.org
[轉錄]MicroSoft公司因應這次Blaster病毒文件
« 回覆 #6 於: 2003-08-13 15:27 »
唉~~~ 都不知講多少次了:
security 問題的關鍵點是人人人人人人人人人人人人人人人人人人人人人人啦﹗

若只會怪別人的話,請離職吧。

p.s. 小弟最近最愛說的一句話是:
人對了,事情就對。

chiangtr

  • 活潑的大學生
  • ***
  • 文章數: 214
    • 檢視個人資料
[轉錄]MicroSoft公司因應這次Blaster病毒文件
« 回覆 #7 於: 2003-08-13 16:37 »
嗯...我查了一下公司的 update 資料....
823980號更正我在7/21就全部做過了....
現在只要一有新的更正...我馬上全公司的 server都做一次....
(小弟很怕死...怕萬一真的Server有個三長兩短, 我就得提頭見老闆了 @@)

還好...公司內目前沒有人發病 @@

倒是最近被一隻叫 Worm_Mimail.A的病毒煩死了.....
一堆不知道那的人中毒... 猛朝我公司發信...-_-||||

James Wu

  • 鑽研的研究生
  • *****
  • 文章數: 683
    • 檢視個人資料
[轉錄]MicroSoft公司因應這次Blaster病毒文件
« 回覆 #8 於: 2003-08-13 16:43 »
嘿嘿~我們總公司也沒有中獎
不過大陸分公司問題就一堆了
我也管理不到@@

小穎

  • 俺是博士!
  • *****
  • 文章數: 1005
    • 檢視個人資料
[轉錄]MicroSoft公司因應這次Blaster病毒文件
« 回覆 #9 於: 2003-08-13 16:47 »
引述: "chiangtr"
嗯...我查了一下公司的 update 資料....
823980號更正我在7/21就全部做過了....
現在只要一有新的更正...我馬上全公司的 server都做一次....
(小弟很怕死...怕萬一真的Server有個三長兩短, 我就得提頭見老闆了 @@)

還好...公司內目前沒有人發病 @@

倒是最近被一隻叫 Worm_Mimail.A的病毒煩死了.....
一堆不知道那的人中毒... 猛朝我公司發信...-_-||||


Worm_Mimail.A....小弟是直接把有message.zip副件的郵件砍了,這樣它就不會影響到End User(因為之前有人中標)!
Windows Server的部份,小弟都有設Auto Update,所以都沒事情!
(當然,全都是躲在FreeBSD的後面,呵!有靠山!)
Client的部分,有加入Domain的,就直接用SUS更新!^^

paulso

  • 俺是博士!
  • *****
  • 文章數: 1966
    • 檢視個人資料
[轉錄]MicroSoft公司因應這次Blaster病毒文件
« 回覆 #10 於: 2003-08-13 21:53 »
中了毒不知叫好彩還是不好彩呢 ^^

Luang2000

  • 懷疑的國中生
  • **
  • 文章數: 39
    • 檢視個人資料
[轉錄]MicroSoft公司因應這次Blaster病毒文件
« 回覆 #11 於: 2003-08-13 23:03 »
我今天上Windows Update他居然說:

HTTP/1.1 Server Too Busy

從未發生過的情況呀!!呵呵呵!!

而且我記得MS03-026不是早就發布了嗎?還上報咧!!為什麼沒有人去更新呢??還讓Blaster囂張!!

bono

  • 榮譽學長
  • 活潑的大學生
  • ***
  • 文章數: 363
  • 性別: 男
    • 檢視個人資料
[轉錄]MicroSoft公司因應這次Blaster病毒文件
« 回覆 #12 於: 2003-08-13 23:08 »
引述: "netman"
唉~~~ 都不知講多少次了:
security 問題的關鍵點是人人人人人人人人人人人人人人人人人人人人人人啦﹗

若只會怪別人的話,請離職吧。

p.s. 小弟最近最愛說的一句話是:
人對了,事情就對。


小弟深表同意 8)
MS Security Bullitine 前年就因應 Code Red 成立了, 至今有多少 NT/2000的 SA 知道呢 ? 即使連 Code Red, SQL_Worm , 這些都是在發生前至少一個月就提出警告了, 問題是, 沒人相信真的會造成問題 :roll:
有一半責任是在使用者自己啦, 只會怪微軟, 自己到底做了多少呢 ?
如果真的認為 M$太爛, 幹嘛還繼續用 ?
人如果錯了, 對的事也會跟著錯吧.... 8)
/___/_/___/_/___/_/___/_/___/_/___/

-=-  Bono   -=-  MCSE & LPIC Tutor -=-
_/___/_/___/_/___/_/___/_/___/_/___/

James Wu

  • 鑽研的研究生
  • *****
  • 文章數: 683
    • 檢視個人資料
[轉錄]MicroSoft公司因應這次Blaster病毒文件
« 回覆 #13 於: 2003-08-13 23:26 »
這次的事件讓微軟損失慘重吧
剛才去幫受到波及的朋友
處理,他居然連service pack 1都沒有更新..
2k不曉得出來多久了,實在有點無言
去微軟更新都出現伺服器忙碌中..
真是苦了微軟了

Tim

  • 活潑的大學生
  • ***
  • 文章數: 450
  • 性別: 男
    • 檢視個人資料
    • http://www.lab.mlc.edu.tw/
[轉錄]MicroSoft公司因應這次Blaster病毒文件
« 回覆 #14 於: 2003-08-14 02:22 »
我發現中文化軟體聯盟的各大FTP站台都有一個「微軟系統更新 (msupdate)」的資料夾。
以 Windows 2000 為例,我下載 sp4 之後,燒在光碟上。
再用此光碟去 update 其他的機器,這樣一來,比到 Windows Update 網站更新的速度還要快。

中縣教網 ftp://ftp.boe.tcc.edu.tw/cpatch/
彰縣教網 ftp://ftp.chc.edu.tw/cpatch
中華大學 ftp://ftp.chu.edu.tw/cpatch/
交大資科 ftp://ftp.cis.nctu.edu.tw/cpatch/
中華資工 ftp://ftp.csie.chu.edu.tw/cpatch/
香港中大 ftp://ftp.cuhk.edu.hk/pub/cpatch/
中原大學 ftp://ftp.cycu.edu.tw/cpatch/
大葉大學 ftp://ftp.dyu.edu.tw/pub/cpatch/
成大電機 ftp://ftp.ee.ncku.edu.tw/cpatch/
義守大學 ftp://ftp.isu.edu.tw/cpatch/
龍華科大 ftp://ftp.lhu.edu.tw/cpatch/
中興大學 ftp://ftp.nchu.edu.tw/cpatch/
成功大學 ftp://ftp.ncku.edu.tw/cpatch/
暨南大學 ftp://ftp.ncnu.edu.tw/pub/cpatch/
中央大學 ftp://ftp.ncu.edu.tw/cpatch/
新竹師院 ftp://ftp.nhctc.edu.tw/cpatch/
中山大學 ftp://ftp.nsysu.edu.tw/cpatch/
臺灣大學 ftp://ftp.ntu.edu.tw/cpatch/
臺灣科大 ftp://ftp.ntust.edu.tw/cpatch/
臺北科大 ftp://ftp.ntut.edu.tw/cpatch/
靜宜大學 ftp://ftp.pu.edu.tw/cpatch/
東海大學 ftp://ftp.thu.edu.tw/cpatch/
淡江大學 ftp://ftp.tku.edu.tw/cpatch/
元智大學 ftp://ftp.yzu.edu.tw/cpatch/
交通大學 ftp://hw-driver.nctu.edu.tw/cpatch/

【亞洲鴕鳥】

  • 懷疑的國中生
  • **
  • 文章數: 65
    • 檢視個人資料
[轉錄]MicroSoft公司因應這次Blaster病毒文件
« 回覆 #15 於: 2003-08-15 13:01 »
反微軟要反之有道, 不是一味的落井下石, 這樣的反微軟真的有效嗎? 那樣只會落入為反對而反對的無窮迴圈裡.(就跟立法院藍綠對決一樣, 只會批評, 不會提出有建設性的意見)
今天微軟樹大招風, 但是哪天Linux平台也流行起來之後呢? Linux就沒有漏洞嗎? 裝上Linux之後MIS就不用管漏洞嗎? 還是漏洞會自行修補?
所有的系統都一樣, 安全是從人做起的, 現在漸漸受到重視的ISO-17799/BS-7799 ISMS 資訊安全管理系統, 首重就是人的危安行為管理.  系統設計的再安全, 人不配合, 皆是枉然.

paulso

  • 俺是博士!
  • *****
  • 文章數: 1966
    • 檢視個人資料
[轉錄]MicroSoft公司因應這次Blaster病毒文件
« 回覆 #16 於: 2003-08-15 20:42 »
嗯,首先當然是 program 寫漏東西啦。不過有誰人會全對沒錯呢?這個世上沒有人敢說是已是最勁那個,因為總會有人比自己得利害。
就以 game 為例,一隻 game 寫得再好也會有人找到 bug 出來以最少的負出拿到最大的收獲。
所以 game 也有 patch 來修正錯誤的地方。