Virus 版 (精华区)

发信人: wanily (老鼠·不再醉酒), 信区: Virus
标  题: W32.Welchina.Worm (zz smth)
发信站: 哈工大紫丁香 (2003年08月29日09:13:11 星期五), 站内信件

发信人: RonLiang (俩零), 信区: Virus
标  题: ┗[紫荆公寓特别注意]紧急防止KillBlaster蔓延
发信站: BBS 水木清华站 (Sun Aug 24 07:43:24 2003), 转信
 
VIRUS版@SMTH特别警告 ：紧急防止Welchia(KillBlaster/Nachi)蔓延
 
最新冲击波Blaster利用系统rpc漏洞大肆在局域网内传播，其变种Welchia/KillBlaster
更是造成了校内当前多个局域网服务器因不断接到数据包而发生网络堵塞。由于该病毒
和别的变种不同，不攻击本地rpc服务，除了堵塞网络之外对本机应用无影响，所以隐蔽
性很强。打了rpc补丁之后，仅仅能保证不再感染该病毒，但病毒仍然存在于机器中，继
续大肆传播。（另外该病毒还有可能通过利用WebDav漏洞（详情），通过使用80端口对特
定的 Microsoft IIS 5.0进行攻击。）
由于近日紫荆等处网络不正常，很多杀毒软件的病毒定义没有及时得到更新，病毒传播得
十分迅速。新装的系统（无rpc补丁）几分钟内即有可能感染该病毒。
 
判断染毒方法：
1、进程中有dllhost进程在活动。 （复合此条仅仅是有可能，并不代表一定中毒）
辟谣：针对某些文章中通过svchost判断的，纯属误导。进程管理器一般不显示进程程序
所在位置。
2、服务中存在WINS Client这一项。
(普通Blaster: 在Windows system32文件夹中有MSBLAST.Exe文件；提示错误信息：RPC服
务失败，系统重启。BTW:RPC漏洞不影响win95/98/ME系统。)


发信人: RonLiang (俩零), 信区: Virus
标  题: ┗[紫荆公寓特别注意]紧急防止KillBlaster蔓延
发信站: BBS 水木清华站 (Sun Aug 24 07:43:24 2003), 转信
 
VIRUS版@SMTH特别警告 ：紧急防止Welchia(KillBlaster/Nachi)蔓延
 
最新冲击波Blaster利用系统rpc漏洞大肆在局域网内传播，其变种Welchia/KillBlaster
更是造成了校内当前多个局域网服务器因不断接到数据包而发生网络堵塞。由于该病毒
和别的变种不同，不攻击本地rpc服务，除了堵塞网络之外对本机应用无影响，所以隐蔽
性很强。打了rpc补丁之后，仅仅能保证不再感染该病毒，但病毒仍然存在于机器中，继
续大肆传播。（另外该病毒还有可能通过利用WebDav漏洞（详情），通过使用80端口对特
定的 Microsoft IIS 5.0进行攻击。）
由于近日紫荆等处网络不正常，很多杀毒软件的病毒定义没有及时得到更新，病毒传播得
十分迅速。新装的系统（无rpc补丁）几分钟内即有可能感染该病毒。
 
判断染毒方法：
1、进程中有dllhost进程在活动。 （复合此条仅仅是有可能，并不代表一定中毒）
辟谣：针对某些文章中通过svchost判断的，纯属误导。进程管理器一般不显示进程程序
所在位置。
2、服务中存在WINS Client这一项。
(普通Blaster: 在Windows system32文件夹中有MSBLAST.Exe文件；提示错误信息：RPC服
务失败，系统重启。BTW:RPC漏洞不影响win95/98/ME系统。)


 
解决办法：
1、手动：开始菜单->运行->键入"cmd"->确定
   net stop RpcPatch
   net stop RpcTftpd
   开始菜单->运行->键入"regedit"->确定
   找到"HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices"
    和“HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\”
   删除.RpcPatch和RpcTftpd键值，退出注册表编辑器
   删除系统(System32)目录下wins目录里面的dllhost.exe和Svchost.exe
2、借助杀毒工具：更新病毒库（Norton要求18日之后病毒定义）或者下载Norton（或者
瑞星、金山最新的专杀本地运行。（其他blaster变种亦可用此法清除，推荐。若清除失
败，进安全模式。）（精华区提供下载）
3、（临时应急）停止、禁用wins服务。
（我的电脑右键->管理->服务和应用程序->服务里）
Service Name: RpcPatch   Service Display Name: WINS Client
Service Binary: %System%\wins\dllhost.exe
 
防治办法：
打rpc补丁，升级病毒库。
因XP破解版本问题打不上补丁的，应禁用DCOM：
开始菜单->运行->键入" dcomcnfg "->确定，“默认属性”->


取消“在这台计算机上启用分布式COM”的复选框->“确定”。
建议安装网络防火墙。检查机器上不能存在完全网络共享的文件夹?
（XP我的电脑->共享文档很多就是完全共享）
 
 (* 针对蠕虫发送大量ICMP导致的网络阻塞解决建议 可暂时在网络设备上禁止或者限制
ICMP ECHO数据包。由于蠕虫发送的ICMP报文的源IP 都是真实的，可通过在Sniffer上设
定过滤规则，捕获大小为92字节的ICMP ECHO数据包，统计源IP，即可了解网络中那些系
统被蠕虫感染，并采取相应措施。或者使用精华区4-18中MS的扫描器）
 

--
要么清醒自己，要么从这个世界流浪到天堂

※ 来源:·哈工大紫丁香 bbs.hit.edu.cn·[FROM: 218.10.85.158]