GSN SPAM 及病毒掃描區 WORM_MSBLAST.D ( 疾風變種病蟲 ) 說明


  • 摘要:
  •     日前橫掃全球之「疾風病毒」( MS.Blaster.worm ) 又再出現變種,恐將影響電腦
          效能,或造成網路壅塞無法使用,請儘速更新 Microsoft 修補程式。

  • 此變種病蟲主要執行下列事項:
  •     1. 刪除 MSBLAST.exe 病毒。
        2. 判斷受感染的主機版本,並下載適當的 Microsfot DCOM RPC 修補程式。
        3. 安裝修補程式並重新開機。
        4. 繼續感染網路上其它未安裝 patch 的主機
             ( 利用D COM RPC 及 WebDav 漏洞 )。

        5. 判斷系統時間,如果時間為 2004 年,此病毒將自動將自已移除。

        此變種的攻擊模式利用 Microsoft RPC 漏洞 ( port 135 ) 及 Microsoft WebDav 漏洞
         ( port 80 ) 進行散播,原本的病毒定義檔無法偵測到變種病毒,請盡速修補
         Microsoft RPC、Microsoft WebDav 漏洞及更新病毒定義檔。

  • 影響系統:
  •     Microsoft Windows 2000
        Microsoft Windows XP

  • 決解方法:
  •     此病毒是利用 Microsoft MS03-026 及 Microsoft MS03-007 漏洞進行感染、散播。

        請盡速下載安裝修補程式。請參閱:
        http://www.microsoft.com/taiwan/security/bulletins/MS03-026.asp
        http://www.microsoft.com/taiwan/security/bulletins/MS03-007.asp

  • 如果您的電腦受到此蠕蟲感染,可以依下列方式解決:
  •     一、自動清除步驟:
              1. 請下載趨勢免費掃毒軟體:
              http://www.trendmicro.com/ftp/products/tsc/sysclean.com
              2. 下載趨勢最新病毒碼:
              http://a928.g.akamai.net/f/928/485/10m/www.trend.com.tw/support/
    downloads/pattern/LPT$616.exe

              3. 以滑鼠點兩下 LPT$616.exe 檔,將自動解壓縮成 LPT$VPN.616。
              4. 將 LPT$VPN.616 及 sysclean.com 放在同一個目錄下。
              5. 執行 sysclean.com 程式掃描您的系統。

        二、手動清除步驟:
              1. 取消惡意程式的服務:
              這個動作可以將 Windows NT,2000 和 XP 上正在執行的惡意程式服務從
                 記憶體中移除。

              1.1 點選 "開始" --> "執行",輸入 CMD 並按 Enter 進入命令提示字元。
              1.2 於命令提示字元內輸入下列指令:
                        NET STOP "Network Connections Sharing"。

              1.3 按下 Enter 鍵,會跳出一個訊息方塊說明此成功停止該服務。
              1.4 重複上述動作停止下述服務:
                        NET STOP "WINS Client"。

              1.5 關閉命令提示字元視窗。

              2. 移除惡意程式的服務:
              2.1 重新啟動電腦以便關閉惡意程式的服務。
              2.2 點選 "開始" --> "執行",輸入 REGEDIT 並按 Enter 進入登錄編輯程式。
              2.3 於左邊視窗中滑鼠雙擊下述路徑:
                        HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>。

              2.4 於左邊視窗中,刪除該路徑下的兩個子登錄值:
                        RpcPatch,RpcTftpd。

              2.5 關閉登錄編輯程式。

              3. 移除病毒檔:
              請開啟檔案總管,並刪除下列檔案:
              C:\Winnt\System32\Wins\Dllhost.exe
              C:\Winnt\System32\Wins\Svchost.exe

              請注意:是移除 "C:\Winnt\System32\Wins" 下的 Svchost.exe

              4. 安裝修補程式:
              請參閱:
              http://www.microsoft.com/taiwan/security/bulletins/MS03-026.asp
              http://www.microsoft.com/taiwan/security/bulletins/MS03-007.asp

  • 參考網站:
  •     賽門鐵克 ( 英文 ):
        http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.worm.html
        趨勢科技 ( 中文 ):
        http://www.trendmicro.com/vinfo/zh-tw/virusencyclo/
    default5.asp?VName=WORM_MSBLAST.D


    最佳瀏覽解析度 800 x 600
    主辦單位:行政院研究發展考核委員會
    執行單位:中華電信