关于冲击波病毒（摘自华军软件园）

大胃王

从今天凌晨开始，许多用户的系统就不停的重新启动。现在已经查明是两种蠕虫病毒利用RPC服务的漏洞对网络中的计算机进行攻击。该两种病毒名为“爆破工（Worm.Blaster）”和“异形(Worm.Rpc.Zerg)”，微软已经放出了该漏洞的补丁，请大家赶快去下载。 发作时弹出强行重启窗口 　　以下是该病毒的一些资料： 　　漏洞现象：Windows系统不稳定出现SCVHOST错误，开机后无法进行复制、粘贴等操作，无法打开OUTLOOK或IE等程序，机器在1~2分内出现RPC错误重新启动。 　　威胁程度：Microsoft RPC为远程管理员权限，MS WINDOWS 2000 RPC为远程拒绝服务 　　错误类型：Microsoft RPC为设计错误，MS WINDOWS 2000 RPC为输入验证错误 　　利用方式：Microsoft RPC为服务器模式、MS WINDOWS 2000 RPC为客户机模 　　Microsoft RPC CVE(CAN) ID：CAN-2003-0352 　　受影响系统 　　Microsoft Windows NT 4.0 　　Microsoft Windows NT 4.0 Terminal Services Edition 　　Microsoft Windows 2000 　　Microsoft Windows XP 　　Microsoft Windows Server 2003 　　需要说明的是已经装有SP4的系统也需要安装补丁 　　详细描述 　　Microsoft RPC ：Remote Procedure Call (RPC)调用是WINDOWS使用的一个协议，提供进程间交互通信，允许程序在远程机器上运行任意程序。 　　RPC在处理通过TCP/IP进行信息交换过程中存在漏洞，问题由于不正确处理畸形消息造成。主要此漏洞影响使用RPC的DCOM接口，监听RPC使能的接口，这个接口处理DCOM对象激活请求。攻击者如果成功利用此漏洞，可以以系统用户权限执行任意代码。 　　要利用这个漏洞，可以发送畸形请求给远程服务器监听的特定RPC端口。如135、139、445等任何配置了RPC端口的机器。 　　MS WINDOWS 2000 RPC ：WINDOWS的RPC服务（RPCSS）存在漏洞，当发送一个畸形包的时候，会导致RPC服务无提示的崩溃掉。由于RPC服务是一个特殊的系统服务，许多应用和服务程序都依赖于他，因为可以造成这些程序与服务的拒绝服务。同时可以通过劫持epmapper管道和135端口的方法来提升权限和获取敏感信息。 　　技术分析 　　问题主要发生在RPC服务为DCOM服务提供__RemoteGetClassObject接口上，当传送一个特定包导致解析一个结构的指针参数为NULL的时候， __RemotoGetClassObject 未对此结构指针参数有有效性检查，在后续中就直接引用了此地址（此时为0）做读写操作，这样就导致了内存访问违例，RPC服务进程崩溃。 　　危害 　　攻击之后，许多基于RPC的应用无法使用，如使用网络与拨号连接拨号，配置本地连接等，一些基于RPC，DCOM的服务与应用将无法正常运行。 由于RPC服务是MS WINDOWS中一个重要的服务，他开放的135端口同时用于DCOM的认证，epmapper管道用于RPC端点的影射，并默认为系统信任，如果一个攻击者能够以低权限在被攻击机器上运行一个程序，在RPC服务崩溃以后，就可以通过劫持epmapper管道和135端口的方法来提升权限或获得DCOM客户端认证的信息。 　　解决方案 　　比较有效的防范方法是：关闭传播端口、安装新补丁。 　　网络控制方法： 　　如果您不需要应用这些端口来进行服务，为了防范这种蠕虫，你应该在防火墙上阻塞TCP port 4444和下面的端口： 　　TCP 4444 蠕虫开设的后门端口，用于远程控制 　　UDP Port 69 用于文件下载 　　TCP Port 135 微软：DCOM RPC 　　补丁下载： 　　Windows NT 4.0 Server ： 　　http://microsoft.com/downloads/details.aspx?FamilyId=2CC66F4E-217E-4FA7-BDBF-DF77A0B9303F&displaylang=en 　　Windows NT 4.0 Terminal Server Edition： 　　http://microsoft.com/downloads/details.aspx?FamilyId=6C0F0160-64FA-424C-A3C1-C9FAD2DC65CA&displaylang=en 　　Windows 2000： 　　http://microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F-220354449117&displaylang=en 　　Windows XP 32 bit Edition ： 　　http://microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=en 　　Windows XP 64 bit Edition： 　　http://microsoft.com/downloads/details.aspx?FamilyId=1B00F5DF-4A85-488F-80E3-C347ADCC4DF1&displaylang=en 　　Windows Server 2003 32 bit Edition： 　　http://microsoft.com/downloads/details.aspx?FamilyId=F8E0FF3A-9F4C-4061-9009-3A212458E92E&displaylang=en 　　Windows Server 2003 64 bit Edition： 　　http://microsoft.com/downloads/details.aspx?FamilyId=2B566973-C3F0-4EC1-995F-017E35692BC7&displaylang=en 　　Windows2000 中文版 　　http://www.microsoft.com/downloads/details.aspx?FamilyID=c8b8a846-f541-4c15-8c9f-220354449117&DisplayLang=zh-cn 　　Windows XP 中文版 　　http://microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=2354406C-C5B6-44AC-9532-3DE40F69C074 　　Windows 2003 中文版 　　http://microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=F8E0FF3A-9F4C-4061-9009-3A212458E92E 　　相关信息请参考：http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp

香柏树

我在发关于此病毒的文章时, 没有查看新贴, 等发好了才发现 大胃王早我一步发了这帖子,我发重了话题, 在这里向版主和管理员说声对不起了. 不过我真的是无意的.

香柏树

据有人说用router 可以杜绝此病毒入侵. 有观资料如下: (原文是英文, 由于我不太确定一些 计算机术语的中文, 所以没敢翻译, 怕误导大家 希望懂行的弟兄姊妹帮忙翻译一下,谢谢) router installation: phoneline/cable -> cable/dsl modem -> cable/dsl router -> net card of your computer(s)if you have laptop, you can consider to buy wireless router. A wireless router provides wireless connectivity, plus 4 ports for wired connections. Around $70. Some more expensive models provide printer server feature, so you can hook up your printer to this router, so any computer in your home LAN can print to this printer.This is cable/dsl router, or "mini" router. Not a real network router (a real one will cost you at least $700), but it provides the basic service, like NAT(networ address translation) and DHCP (to give your machine internal IP addresses). Since the router takes the IP that your ISP assigned to you, static or dynamic, so hacker can only attack this router (for IP based attacks, such as the one we are talking), not your computers. And since a router is a dump device, there is really nothing to hack.

[此贴子已经被作者于2003-8-14 15:12:20编辑过]

大胃王

大家互相帮助哦～～～我只是抛砖引玉～～

恩泉

这个病毒很厉害，大家一定要注意，赶快给自己的机器打好补丁。 我昨天就中招了，除了没有不断重起以外其他现象都有。

marylu

以下是引用恩泉在2003-8-14 23:06:24的发言： 这个病毒很厉害，大家一定要注意，赶快给自己的机器打好补丁。 我昨天就中招了，除了没有不断重起以外其他现象都有。

可怜阿，我的2000出问题了，转到XP下面才发现XP 系统会显示RPC错误然后自动重新启动，原来也是中毒了，奇怪的就是2000下面没有哦。下载了专杀软件杀掉好像没什么用，要先打补丁才行嘛？可是补丁我下载不到哦，我要晕倒了，HELP!

boldness

以下是引用marylu在2003-8-16 0:26:48的发言： [quote]以下是引用恩泉在2003-8-14 23:06:24的发言： 这个病毒很厉害，大家一定要注意，赶快给自己的机器打好补丁。 我昨天就中招了，除了没有不断重起以外其他现象都有。

可怜阿，我的2000出问题了，转到XP下面才发现XP 系统会显示RPC错误然后自动重新启动，原来也是中毒了，奇怪的就是2000下面没有哦。下载了专杀软件杀掉好像没什么用，要先打补丁才行嘛？可是补丁我下载不到哦，我要晕倒了，HELP! [/quote] Here is the patch: http://www.microsoft.com/security/incident/blast.asp

boldness

Here is the removing tool from Symantec Norton Anti-virus: http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html

marylu

以下是引用boldness在2003-8-16 1:47:07的发言： Here is the patch: http://www.microsoft.com/security/incident/blast.asp

呵呵，谢谢你哦，boldness弟兄，我不是找不到补丁的地址，是因为我用LAN，所以经常很多地方去不到：） 因为聚会回来已经很晚了，想请弟兄姊妹们下载了EMAIL给我也不可能，我只有再去搜个好用的代理出来，登上微软的网战，下载XP和2000的补丁，好慢阿……。更恼火的是我的2000版本太低，无奈我又去搜个SP4出来装上，下载这些大概一个多小时。等待中顺便处看看，看到了『永远的牵手』，就搬过来了：）其实本来已经很困了，可是看到香柏树的帖子说16日开始可能就不能打补丁了，上瑞星网站看看，更是毛骨悚然，只有忍住瞌睡虫的袭击，连夜搞定啦。 补丁打完，才知道短信看不到就是“冲击波”惹的祸，而且好笑的是2000下面的漏洞就是：Windows系统不稳定出现SCVHOST错误，开机后无法进行复制、粘贴等操作，无法打开OUTLOOK或IE等程序，但在XP下面就是：机器在1~2分内出现RPC错误重新启动。所以只能不停的在两个系统之间转换，各取所需，只是忙的我不亦乐乎：） 最后要说，用2000和XP的家人快快打补丁哦，小觑不得的！我就是没上心，以至于搞成夜战，怎生一个惨字了得家人们可吃一堑，长一智，别像我点灯熬油费眼神

香柏树

marylu,这是我从别处得来得解决方法, 你试试: 1，工具杀毒： *1.1杀毒前一定要打开任务管理器，关闭msblast.exe进程 1.2下载专用杀毒工具 http://download.rising.com.cn/zsgj/ravzerg.exe 1.3 重起机器并给系统打补丁 http://it.rising.com.cn/newSite/Channels/info/virus/TopicDatabasePackage/12-145900547.htm 2，手工杀毒： *1.1 杀毒前一定要打开任务管理器，关闭msblast.exe进程 *1.2 如果是XP系统，一定要关闭系统还原!方法：所有程序--->附件---〉系统工具---〉 系统还原----〉系统还原设置--->在所有驱动器上关闭系统还原。 1.3 删除病毒主文件：删除windows 目录下，windows\system目录下 ， windows\system32目录下的msblast.exe文件 1.4 删除病毒注册表文件：运行--regedit HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 项里，如果有："windows auto update"="msblast.exe"，就手工删除该键值。 1.5 重起机器并给系统打补丁 http://it.rising.com.cn/newSite/Channels/info/virus/TopicDatabasePackage/12-145900547.htm