bbo,必博娱乐

---

　ccert公告编号:2003-016

　　影响系统: windows 2000,windows xp / windows 2003

　　cve参考: can-2003-0352

　　mcafee 命名为：w32/lovsan.worm

　　简单描述：

　　w32.blaster.worm 是一种利用dcom rpc 漏洞进行传播的蠕虫，传播能力很强。详细描述请参照microsoft security bulletin ms03-026感染蠕虫可能导致系统不稳定，有可能造成系统崩溃 ，它扫描端口号是tcp/135, 传播成功后他会利用tcp/4444和udp 69端口下载并运行它的代码程序msblast.exe.这个蠕虫还将对windowsupdate.com进行拒绝服务攻击。这样做的目的是为了不能使您及时地得到这个漏洞的补丁

　　ccert正在分析蠕虫的传播机理。


　　网络控制方法：

　　如果您不需要应用这些端口来进行服务，为了防范这种蠕虫，你应该在防火墙上阻塞tcp port 4444 , 和下面的端口:

　　tcp 4444 蠕虫开设的后门端口，用于远程控制
　　udp port 69, 用于文件下载
　　tcp port 135, 微软：dcom rpc


　　计算机处理办法：

　　蠕虫攻击不成功可能导致系统出现了不正常，比如拷贝、粘贴功能不工作，rpc 服务停止；建议你重新启动计算机，立刻打补丁（下载地址见下文）；

　　如果你的系统被感染了，系统可能出现如下特征：

　　1. 被重启动；

　　2. 用netstat 可以看到大量tcp 135端口的扫描；

　　3. 系统中出现文件： %windir%system32msblast.exe

　　4. 系统工作不正常，比如拷贝、粘贴功能不工作，iis服务启动异常等；


　　手动删除办法：


　　1. 检查、并删除文件: %windir%system32msblast.exe

　　2. 打开任务管理器，停止以下进程 msblast.exe .


　　3. 进入注册表（“开始->运行：regedit)

　　找到键值：hkey_local_machinesoftwaremicrosoftwindowscurrentversion un

　　在右边的栏目, 删除下面键值:

　　"windows auto update"="msblast.exe"

　　4. 给系统打补丁（否则很快被再次感染）




　　补丁下载


　　cernet:下载

　　windows 2000补丁 　　windows xp 补丁


　　bbo,必博娱乐补丁信息请参见： http://www.microsoft.com/technet/security/bulletin/ms03-026.asp


　　请关注ccert主页和邮件列表:

　　http://www.ccert.edu.cn
　　advisory@ccert.edu.cn


　　其他参考信息


　　1、http://www.securityfocus.com/news/6689

　　2、http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ms03-026.asp

　　3、http://www.securityfocus.com/columnists/174

　　4、http://isc.sans.org/diary.html?date=2003-08-11.



　　 中国教育和科研计算机网紧急响应组（ccert）