作者 主題: 新的"假好心"病毒  (閱讀 9590 次)

0 會員 與 1 訪客 正在閱讀本文。

James Wu

  • 鑽研的研究生
  • *****
  • 文章數: 683
    • 檢視個人資料
新的"假好心"病毒
« 於: 2003-08-19 18:36 »
WORM_MSBLAST.A又出現一新變種病毒WORM_MSBLAST.D,目前毒性已散佈至台灣、大陸與歐美各地,據估在台灣已有數10多家企業用戶,在全球有數百家企業用戶受此病毒感染,災情還在持續增加中。
廣 告

  由於「疾風病毒」多種病毒的交相感染,這隻變種病毒不但挾帶相同攻擊手法,還會強迫電腦下載微軟修正程式,令許多企業在數百台電腦同時間下載修正程式的結果,造成網路流量暴增,導致網站擁塞癱瘓!

  根據趨勢科技目前掌握到的最新消息,由於「疾風病毒」多種病毒的交相感染,已經令全球企業IT人員疲於奔命,這是繼2001年娜坦病毒 (Nimda)之後,第二支連續發佈兩次紅色警訊的重大病毒!

  趨勢科技呼籲所有用戶除立即下載安裝微軟修正程式外,或下載病毒碼進行掃毒。

  WORM_MSBLAST.D為「疾風病毒」的最新變種,除了採用同樣攻擊微軟系統RPC的漏洞外,還會攻擊WebDAV的新漏洞感染未經修正過的電腦,此病毒攻擊微軟系統135連接埠,並自動開啟中毒電腦707連接埠 (原開啟4004連接埠) 作為後門程式入侵點,再攻擊並感染其他電腦。

  所以,用戶不僅要針對原WORM_MSBLAST.A病毒下載微軟MS03-026修正程式外,再針對此變種WORM_MSBLAST.D下載微軟MS03-007修正程式,才能有效遏止此病毒的交相感染。

  此外,受感染的電腦會在 c: \winnt\system32\wins\的目錄下發現兩隻病毒程式,並分別以 LLHOST.exe和SVCHOST.exe兩個系統檔名出現。

  趨勢科技指出,這隻病毒有兩個很特別的病毒行徑:一、會強迫中毒電腦自動下載並安裝微軟修正程式,並無預警的重新開機。二、會自動搜尋並移除舊病毒的 BLAST.exe程式。由此病毒在自動下載微軟程式與移除舊病毒程式的這兩種病毒行徑看來,表面上似乎是為清除反制「疾風病毒」而來,但由於其強迫電腦在未經系統需求確認的情況下載微軟修正程式,對個人而言,造成上網速度變慢,電腦不斷重新開機;對企業用戶而言,由於企業內部上百台電腦同時下載微軟修正程式的結果,造成網路流量暴增擁塞,進而導致網站癱瘓,影響企業運作甚鉅!

  在歷經上周在各界大力宣導「疾風病毒」的危險性與告知用戶盡速下載微軟修正程式並更新病毒碼後,新的變種病毒還是對用戶造成巨大殺傷力,原因包括許多個人或企業用戶尚未更新微軟修正程式、許多已中毒未察覺的電腦用戶,再度與其他變種病毒交相感染。

湯包

  • 榮譽博士
  • 鑽研的研究生
  • *****
  • 文章數: 923
  • 性別: 男
    • 檢視個人資料
    • 湯包的部落格
新的"假好心"病毒
« 回覆 #1 於: 2003-08-19 19:02 »
再三提醒公司同仁,一定要安裝修正程式。

結果還是一堆人中了變種病毒,台北、高雄兩地都傳出災情。
其中還有多數均為工程師,而非行政人員。

截至目前為止,高雄狀況已解除,只有三五台Win2K

台北卻有將近20台Win2K,網路癱掉,想抓掃毒或Patch都抓不下來

用防火牆不知該怎麼擋內部已中毒人員的封包.... :(
人必先置於死地而後生
科技來自人性
想像是科技之母

James Wu

  • 鑽研的研究生
  • *****
  • 文章數: 683
    • 檢視個人資料
新的"假好心"病毒
« 回覆 #2 於: 2003-08-19 19:13 »
內部的人只能先把他們的網路線拔掉
從沒問題的電腦上下載修正檔和解毒檔
燒成光碟,問題解決後,再把網路線接回去

湯包

  • 榮譽博士
  • 鑽研的研究生
  • *****
  • 文章數: 923
  • 性別: 男
    • 檢視個人資料
    • 湯包的部落格
新的"假好心"病毒
« 回覆 #3 於: 2003-08-20 01:24 »
我本來的想法是利用微軟出的偵測漏洞軟體,找出被感染的主機,然後從防火牆擋下這些 IP 的所有封包,直到有人出來承認為止。

但是我發現,微軟的偵測程式很馬虎,只是檢查是否有上過 Patch,並不會檢查是否有感染,也就是說偵測結果為 Connect refuse , 或 patch 過,都有可能是已經感染的機器,具有攻擊性。

而且公司將近四十台的 Win2K + XP,應該有三十幾台都中標了。
然後開到安全模式又需要密碼,所以今天到此告一段落。先回家多燒幾片解毒光碟,順便印幾張解毒步驟。

另外,目前賽門鐵克出的 FixBlast.exe 檢查不出變種病毒,只有用趨勢的 sysclean 才能清除。再不然就要勤勞一點手動去清。真是讓我失望,虧我還是賽門鐵克擁護者哩 :(

這個事件讓我又好氣又好笑...因為中毒的同仁有一半以上是工程師,之前我一直寄E-Mail警告大家,都沒人要理我,今天中毒癱瘓了網路,才一個接一個來關切問題,我還得一個一個回答,這樣我怎麼處理問題呀....這就算了,一群人像是沒事一樣,晃來晃去,聊天吃東西,主管一問,就說MIS還沒把網路搞定。

真想訂個規章,以後MIS警告過後的事,還是出問題,就要處罰個人扣薪水(影響同仁工作、嚴重影響公司營運),免得老闆老是覺得MIS像雞肋一樣,食之無味,棄之不得。
人必先置於死地而後生
科技來自人性
想像是科技之母

James Wu

  • 鑽研的研究生
  • *****
  • 文章數: 683
    • 檢視個人資料
新的"假好心"病毒
« 回覆 #4 於: 2003-08-20 01:29 »
唉....只有套用一句natman大大說的老話
人對了事情就對了
很多時候光有技術是解決不了問題的,
上面的政策不支持,做到死問題也解決不了
常常都有湯包大大的困擾
事前提出警告了,附加檔別亂開,該上的path要上
不管說幾次都沒用
出了問題又會怪mis
我們並不是萬能的>_<

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17465
    • 檢視個人資料
    • http://www.study-area.org
新的"假好心"病毒
« 回覆 #5 於: 2003-08-20 01:42 »
MIS 大不易啊...
因此我常提到"技術外"的解決方案...  ^_^

要老闆知道 MIS 的價值並不容易,因為:
* 正常的話,那是"理應如此"的。
* 若有問題,肯定是你的錯﹗
因此,如何讓老闆了解你的工作性質與實質,也是你的工作之一哦~~~
我的方法就是用 report 跟老闆溝通...
並適當提出合理的建議...

梁楓

  • 俺是博士!
  • *****
  • 文章數: 6220
    • 檢視個人資料
新的"假好心"病毒
« 回覆 #6 於: 2003-08-20 09:17 »
我沒有patch...
but...
目前我的客戶沒有半台電腦中獎...
:p

James Wu

  • 鑽研的研究生
  • *****
  • 文章數: 683
    • 檢視個人資料
新的"假好心"病毒
« 回覆 #7 於: 2003-08-20 09:47 »
今天才剛到公司,就得知我們的關係企業
又中了奬了...真不知道隔壁的MIS在做什麼@@
也小小的暗爽了一下,嘿嘿~雖然user不配合
但是基本的防護做滴不錯,才沒像隔壁連internet
都連不上去

changchichung

  • 憂鬱的高中生
  • ***
  • 文章數: 148
    • 檢視個人資料
新的"假好心"病毒
« 回覆 #8 於: 2003-08-20 11:54 »
引述: "湯包"

而且公司將近四十台的 Win2K + XP,應該有三十幾台都中標了。
然後開到安全模式又需要密碼,所以今天到此告一段落。先回家多燒幾片解毒光碟,順便印幾張解毒步驟。

另外,目前賽門鐵克出的 FixBlast.exe 檢查不出變種病毒,只有用趨勢的 sysclean 才能清除。再不然就要勤勞一點手動去清。真是讓我失望,虧我還是賽門鐵克擁護者哩 :(



我的做法是先檢查FW 不要讓外面的病毒有機會利用這個漏洞進來
然後patch Norton Antivirus 主控站(NAV 7.0 企業版)
更新病毒碼
然後將所有client 設定在5分鐘後到父系伺服器更新病毒碼(4x Client 看網路流量是還好)
這樣子至少可以讓client端在不patch 漏洞的情形下 先有一層防護
但是 同樣的 怎麼去一台一台patch client 的漏洞
才是頭大的問題
因為不能強制讓她背景執行
所以沒辦法寫在 login script裡面
後來想說灌個SUS好了
目前還在研究中
我自己的電腦(XP Pro, SP1)
當初好像有把自動更新disable掉
現在要把他切回來去SUS Server更新
卻不知道要怎麼讓他執行
雖然有找到執行檔
%SYSTEMROOT%\system\wuauclt.exe
可是直接執行的結果卻是沒反應 @@
開taskmgr來看 也看不到有在執行
哇咧 @@
technet上面也沒相關的討論
害我卡在這邊不能動 :<

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17465
    • 檢視個人資料
    • http://www.study-area.org
新的"假好心"病毒
« 回覆 #9 於: 2003-08-20 13:25 »
事實上,MIS 在這次 msblaster 事件上所起到的作用是非常重要的,責任也很重,並不能單純怪 end-user 不配合...
比方說,利用軟體派送方式,"主動"的為 client 更新病毒碼(大部份 enterprise 防毒軟體都做得到)。
當然,在 firewall/nat/gateway 上設卡也可以...
在 mail server 上加強 server side scan 也都是 MIS 應該要做的﹗
只是,做完後,別忘了跟老闆報告一下你做了些甚麼?哪些還沒做?為甚麼?...

James Wu

  • 鑽研的研究生
  • *****
  • 文章數: 683
    • 檢視個人資料
新的"假好心"病毒
« 回覆 #10 於: 2003-08-20 14:56 »
引述: "netman"
事實上,MIS 在這次 msblaster 事件上所起到的作用是非常重要的,責任也很重,並不能單純怪 end-user 不配合...
比方說,利用軟體派送方式,"主動"的為 client 更新病毒碼(大部份 enterprise 防毒軟體都做得到)。
當然,在 firewall/nat/gateway 上設卡也可以...
在 mail server 上加強 server side scan 也都是 MIS 應該要做的﹗
只是,做完後,別忘了跟老闆報告一下你做了些甚麼?哪些還沒做?為甚麼?...

都做完了,得到的誇奬是關係企業的同仁..
我的主管和老闆覺得是理所當然滴>_<
中獎的的同仁們覺得平平都是MIS怎麼我家就沒事
他們家就災情慘重,不平衡丫..

湯包

  • 榮譽博士
  • 鑽研的研究生
  • *****
  • 文章數: 923
  • 性別: 男
    • 檢視個人資料
    • 湯包的部落格
新的"假好心"病毒
« 回覆 #11 於: 2003-08-20 18:35 »
其實我沒有怎麼生氣...只是感覺...人性......

netman學長您知道我公司有好幾個子公司用一個Office。
今天早上網路還不通時,我說發現某個子公司許多工程師都中了病毒,他們子公司的人馬上就說「那就把他們的網路線都拔掉呀...」,等我接著說...「你們公司也有人中毒」。

他們馬上就沒聲音了... :(
人必先置於死地而後生
科技來自人性
想像是科技之母

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17465
    • 檢視個人資料
    • http://www.study-area.org
新的"假好心"病毒
« 回覆 #12 於: 2003-08-21 00:35 »
這些工作被視為"理所當然"是理所當然的啦...
最糟的是甚麼也不做...
其次是做了沒人知道...
因此,有做總比沒做好,而做了最好讓人知道~~~

大家加油吧﹗MIS 我也當過,我知道那是件吃力不討好的工作。

小狐狸

  • 憂鬱的高中生
  • ***
  • 文章數: 120
    • 檢視個人資料
新的"假好心"病毒
« 回覆 #13 於: 2003-10-22 13:10 »
引用
WORM_MSBLAST.D為「疾風病毒」的最新變種,除了採用同樣攻擊微軟系統RPC的漏洞外,還會攻擊WebDAV的新漏洞感染未經修正過的電腦,此病毒攻擊微軟系統135連接埠,並自動開啟中毒電腦707連接埠 (原開啟4004連接埠) 作為後門程式入侵點,再攻擊並感染其他電腦。


有個疑問,這個毒是由e-mail夾帶進電腦ㄉㄇ?
應該不是ㄅ!

如果是直接入侵!
他是用甚麼方法進入電腦ㄉ?

rpc是telnetㄉ方式嗎?
一般windows都預設開啟telnetㄇ?
不然怎麼會有辦法登入呢?

我想了解一下他ㄉ運作原理!應該對系統安全有幫助ㄅ?
先謝啦! :D