美高梅官方网站,美高梅手机登录网站

计算机病毒防治公告

2006年04月28日 08:06   美高梅官方网站:      编辑:   责任编辑:   点击:[]

校内各联网用户:

????近日来,校园网内部分计算机被感染了蠕虫病毒,致使校园网性能下降,运行不稳定,请各联网用户马上安装升级补丁程序并注意查杀病毒!

以下IP的用户已被感染,严重影响校园网使用,请尽快查杀病毒!如果在一周内仍有病毒,为了校园网安全运行,将查封该IP端口。

以下数据是2006年4月28日监测发现有病毒的IP(*为严重病毒IP)

218.195.98.230

218.195.98.218

218.195.97.112

218.195.104.46(xs02cpfei)*

218.195.104.48(xs02zjy)*?

218.195.104.40(xs02hxin)*?

?

病毒先容:

??? Worm.Win32.Lovesan用C语言编写,利用LCC编译,是Windows PE可实行文件,大小约为6KB(用UPX压缩工具,解压后为11KB)。

???感染病毒后的系统现象:

1.在Windows system32文件夹中存在MSBLAST.exe文件

2.提示错误信息:RPC服务失败。由此造成系统重新启动。

病毒的传播机制:

Lovesan会在系统每次重启后,在系统注册表中注册以下键值:HKEY_LOCAL_MACHINE\SOFTWARE\微软\Windows\CurrentVersion\Runwindows auto update="msblast.exe"

然后蠕虫开始扫描网络中的IP地址,随机选择20个IP地址进行连接,并感染有此漏洞的计算机,在间歇1.8秒后再扫描另外的20个IP地址。

Worm.Win32.Lovesan下列方式之一扫描IP地址:

1.在60%的情况下,Lovesan随机选择基本的IP地址(A.B.C.D),其中A、B、C为0-255间的随机值,而D值为零。

2.在其余情况下,Lovesan扫描该子网并获得本地染毒染机器的IP地址。从这些IP地址中取出A和B的值并设置D值为0,然后病毒按下列方式得到C的值:

如果C值小于等于20,Lovesan不作修改。即如果本地的IP地址是207.46.14.1,蠕虫将从207.46.14.0开始扫描。

如果C值大于20,Lovesan会在C和C减去19之间选择一个随机值。即如果染毒机器的IP地址是207.46.134.191,蠕虫将在207.46.{115-134}.0之间扫描。

Worm.Win32.Lovesan将通过TCP 135端口向受害计算机发送缓冲区溢出请求,然后在刚感染的计算机上开启TCP 4444端口启动远程shell。

Lovesan对开启4444端口的连接运行一个线程,等待从受害机器发出FTP的“get”请求。然后Lovesan强迫受害机器发送“FTP get”请求,从而从已染毒的计算机下载蠕虫并运行。这样,受害机器也被感染了。

一旦计算机被感染Lovesan,系统将发送RPC服务失败的出错信息,并可能重新启动计算机。

手动清除方法:

1.断开网络连接;

2.终止蠕虫程序的msblast.exe进程:对于Windows 95/98/ME系统,按CTRL+ALT+DELETE;对于Windows NT/2000/XP系统,按CTRL+SHIFT+ESC,选择进程标签页;

3.在运行的程序列表中,查找MSBLAST.EXE进程并终止此进程;

4.点击“开始”à“运行”,输入Regedit,点击“确认”按钮,打开注册表管理器窗口;

5.展开注册表的下列项目:

HKEY_LOCAL_MACHINE>Software>微软>Windows>CurrentVersion>Run

6.在窗口右边的列表中删除键值:Windows auto update = MSBLAST.EXE

病毒防范:如果你无法安装系统补丁,

在防火墙中禁止端口69、135、4444:端口135用于启动与远程计算机的RPC连接。在防火墙中禁止端口135有助于防止有人企图利用此漏洞攻击防火墙后面的系统。

Internet连接防火墙:如果您使用Windows XP或Windows Server 2003中的Internet连接防火墙功能来帮助保护您的Internet连接,则默认情况下,它将禁止来自Internet的入站RPC通信。

在所有未打补丁的计算机上禁用DCOM:当计算机属于某个网络的一部分时,DCOM网络协议可使该计算机上的COM对象能够与其他计算机上的COM对象通信。您可以对特定的计算机禁用DCOM以帮助防范他人利用此漏洞发动的攻击,但这将使该计算机上的对象无法与其他计算机上的对象通信。如果在远程计算机上禁用DCOM,则无法远程访问该计算机以重新启用DCOM。

安装系统补丁:

强烈建议用户安装MicroSoft823980补丁。需注意用户在安装此补丁包之前,需要安装先前的系统补丁,有关详细信息,请访问MicroSoft网站。

全文共30988字节??

XML 地图 | Sitemap 地图