✔ 最佳答案
應該係中左W32.Blaster.Worm
睇下以下段資料幫唔幫到你
W32.Blaster 蠕蟲利用一個已知的漏洞 "微軟 RPC 介面緩衝區超限能允許執行程式碼" (MS03-026 DCOM/RPC 漏洞) 攻擊TCP135埠。有關此漏洞的詳情,請參考本站"微軟 RPC 介面緩衝區超限能允許執行程式碼" (
http://www.hkcert.org/salert/english/s030717_win_rpc.html)的有關資料
蠕蟲會嘗試下載一個名叫 "msblast.exe" 的程式檔案到受感染電腦的%WinDir%\system32 資料夾上並執行,然後不斷掃描互聯網上的機器(機器的IP位址由隨機產生),尋找有漏洞的機器,向其TCP135埠發送特製的攻擊數據去感染它,以求不斷傳播開去。
蠕蟲亦會加入下列注冊鍵,使機器每次啟動時都載入蠕蟲的程式:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
"windows auto update" = msblast.exe
破壞力
注意: W32.Blaster 蠕蟲只攻擊視窗 NT 4, 視窗 2000 and 視窗 XP 的操作系統
受感染的 視窗XP 機器會不斷重新啟動,不能正常工作;受感染的 視窗NT4 和 視窗2000 機器也變得工作緩慢
遙距攻擊者有可能取得本機系統的權限,執行任意的程式
從2003年8月16日起,受感染的機器會共同對微軟WindowsUpdate.com發出分散式阻斷攻擊
解決方案
--------------------------------------------------------------------------------
對付W32.Blaster蠕蟲的基本步驟
注意: 以下步驟必須以擁有系統管員權限的帳戶執行,及必須全部順序執行
1. 停止 視窗XP 機器不斷重新啟動 (視窗2000 及視窗NT 可略去此步驟)
視窗 XP 感染了W32.Blaster蠕蟲後,若連線就會不斷重新啟動。所以,要在離線時先改變視窗XP 設定,停止機器不斷重新啟動,然後才安裝修補程式、掃描和清除蠕蟲等,最後,就是還原 視窗XP 設定。
先不要連接互聯網。(如使用寬頻上網,請關閉寬頻上網器的電源)
在 視窗XP 工作列,按 "開始" → 執行 → 開啟了執行視窗 → 在"開啟"中輸入 services.msc → 按 "確定"
服務視窗出現,請找出"Remote Procedure Call (RPC)" → 雙按 "Remote Procedure Call (RPC)"
"Remote Procedure Call (RPC) 內容" 視窗出現→ 選擇 "修復" → 將第一次失敗時, 第二次失敗時和後續失敗時設為 "不執行動作" → 按 "確定"
重新連接互聯網。(如使用寬頻上網,請開啟寬頻上網器的電源)
2. 下載及安裝微軟 RPC 漏洞的修補程式
注意:
最好在一部不受影響的系統 (視窗98、視窗ME) 或已修補好的系統下載修補程式,再經軟碟及光碟抄錄到受感染電腦上,這樣較為安全。
緊記選擇下面一個正確的視窗平台及語言去下載修補程式
視窗 NT 4.0 (英文):
http://download.microsoft.com/download/6/5/1/651c3333-4892-431f-ae93-bf8718d29e1a/Q823980i.EXE
視窗 NT 4.0 (繁體中文):
http://download.microsoft.com/download/0/f/0/0f01962c-99a8-43d4-b0f9-5eca609a7ef1/CHTQ823980i.EXE
視窗 NT 4.0 Terminal Server (英文):
http://download.microsoft.com/download/4/6/c/46c9c414-19ea-4268-a430-53722188d489/Q823980i.EXE
視窗 2000 (英文):
http://download.microsoft.com/download/0/1/f/01fdd40f-efc5-433d-8ad2-b4b9d42049d5/Windows2000-KB823980-x86-ENU.exe
視窗 2000 (繁體中文):
http://download.microsoft.com/download/5/8/f/58fa7161-8db3-4af4-b576-0a56b0a9d8e6/Windows2000-KB823980-x86-CHT.exe
視窗 XP Home and 視窗 Professional 版本 (英文):
http://download.microsoft.com/download/9/8/b/98bcfad8-afbc-458f-aaee-b7a52a983f01/WindowsXP-KB823980-x86-ENU.exe
視窗 XP Home and 視窗 Professional 版本 (繁體中文):
http://download.microsoft.com/download/2/3/6/236eaaa3-380b-4507-9ac2-6cec324b3ce8/WindowsXP-KB823980-x86-CHT.exe
其他視窗平台:
http://www.microsoft.com/technet/security/bulletin/MS03-026.asp
下載完成後,會開始安裝這修補程式,只選要按“下一步”直至“完成”。電腦會重新啟動。
3. 掃描和清除蠕蟲
重新啟動之後,請預備一個 Symantec 的蠕蟲清除程式到桌面,留待稍後使用
蠕蟲清除程式可到下面的網址下載:
http://securityresponse.symantec.com/avcenter/FixBlast.exe
注意:
最好在一部不受影響的系統 (視窗98、視窗ME) 或已修補好的系統下載蠕蟲清除程式,再經軟碟及光碟抄錄到受感染電腦上,這樣較為安全。
下載時,選 “儲存檔案” → 儲存至 “桌面” → 按 “儲存”
視窗XP 機器在執行蠕蟲清除程式前,先按下列步驟關閉"系統還原": (視窗2000 及視窗NT 可略去此步驟)
按 “開始” → 對著 “我的電腦” 按滑鼠右鍵 → 選 “內容”
“系統視窗”會出現 → 選 “系統還原” → 選 “關閉系統還原” → 選 “確定” → 選 “是”
重新啟動電腦 → 在開機時不停地按 “F8” 直至出現選舉列表 → 選 “安全模式”
(註: 在安全模式下運行蠕蟲清除程式,保證蠕蟲檔案不會因被系統佔用而無法清除)
進入 “安全模式” 後 → 執行桌面上的 “FixBlast.exe”蠕蟲清除程式
按 “Start” → 直至完成
重新啟動電腦回"正常模式"
4. 還原 視窗XP 設定(視窗2000 及視窗NT 可略去此步驟)
按"開始" → 執行 → 開啟了執行視窗 → 在開啟中輸入 "services.msc" → 按 "確定"
會出現服務視窗,請找出 "Remote Procedure Call (RPC)" → 雙按 "Remote Procedure Call (RPC)"
會出現"Remote Procedure Call (RPC) 內容" → 選擇 "修復" → 將第一次失敗時, 第二次失敗時和後續失敗時設為 "重新啟動電腦" → 按 "確定"
按 "開始" → 對著 "我的電腦" 按滑鼠右鍵 → 選 "內容"
會出現 "系統視窗" → 選 "系統還原" → 選 "關閉系統還原" → 選 "確定" → 選 "是"
重新啟動電腦
至此,受感到染電腦應已修復。同時,因為修補程式已堵塞RPC漏洞,就算有針對同一RPC漏洞的W32.Blaster新變種蠕蟲,機器也是防疫的了。