请教:blast病毒如何进入电脑的
xp home version
瑞星防火墙、杀毒软件
他是怎么进入我的电脑的呢,难道他在网上给我发个病毒数据包,就中毒了?
可怕
推荐阅读
那是你没有及时更新吧,还有上网的时候一些不太安全的网站不要上,像我每天除了csdn哪都不去,所以逃过一劫,嘿嘿
所谓你的blast病毒也就是冲击波病毒,是现在的热门病毒
它首先是由绿盟科技安全小组检测到的,受影响的软件系统有2000,xp,2003,下面简述它的病毒传播原理:
蠕虫感染系统后首先检测是否有名为"billy"的互斥体存在,如果检测到该
互斥体,蠕虫就会退出,如果没有,就创建一个。
然后蠕虫会在注册表
hkey_local_machine\software\microsoft\windows\currentversion\run中添加
以下键值:
"windows auto update"="msblast.exe"
以保证每次用户登录的时候蠕虫都会自动运行。
蠕虫还会在本地的udp/69端口上建立一个tftp服务器,用来向其他受侵害的
系统上传送蠕虫的二进制程序msblast.exe。
蠕虫选择目标ip地址的时候会首先选择受感染系统所在子网的ip,然后再按
照一定算法随机在互连网上选择目标攻击。
一旦连接建立,蠕虫会向目标的tcp/135端口发送攻击数据。如果攻击成
功,会监听目标系统的tcp/4444端口作为后门,并绑定cmd.exe。然后蠕虫会连
接到这个端口,发送tftp命令,回连到发起进攻的主机,将msblast.exe传到目
标系统上,然后运行它。
蠕虫所带的攻击代码来自一个公开发布的攻击代码,当攻击失败时,可能造
成没有打补丁的windows系统rpc服务崩溃,windows xp系统可能会自动重启。该
蠕虫不能成功侵入windows 2003,但是可以造成windows 2003系统的rpc服务崩
溃,默认情况下,这将使系统重启。
至于解决方法,现在各大杀毒厂商都出了杀毒补丁,你中招主要是因为当时的杀毒软件没有更新,微软的补丁你也没有打上
天啊!我已经中招了!被w32.blaster.worm病毒害惨了!但用什么都弄不掉它!该怎么办才好呢?!
我的电脑装的是winxp中文简体专业版,病毒是前天爆发的,一上网就中招了,先是norton检到了病毒,但总清除不掉。而且这个病毒改了windows的rpc服务,让你一上网就rpc出错,然后出错的处理就是在几十秒钟之内关掉电脑或重起。后来在windows服务里改了rpc服务出错时被病毒修改了的出错处理方式,上网时不会很快就再提示要很快关机了。但用着用着就svchost.exe出错,一般出两个这样的提示出错的对话框,都是提示引用的内存有错,说那个内存地址不能read,然后就再点击ie上任何页面的链接都没有反应了,点任务栏右下角托盘里的连网指示也不起作用没任何反应了,就是说断开网络连接都不行了,只好重新启动机器!!!另外,病毒好象对usb口也有些影响,我安有一个联想的摄像头,是usb接口的,驱动一点问题也没有,但自从中了招以后,每次起动在任务栏右下脚都有个小提示,说我这个usb设备有问题。
我都分别用norton 8.0、金山毒霸2003钻石版还有瑞星,都是最新的病毒库杀毒程序,因为它们在线更新时都提示病毒库已经是最新的了。可先后用三种杀毒软件在整个电脑查杀了大半天,却始终清除不了病毒。金山报的是win32.hllm.reteras或者modification.win32.hllm.reteras,就象金山毒霸一贯的糟糕表现一样,这些病毒都是些dll,可能也是张冠李带错病乱投药,而且还杀不掉。瑞星也同样很糟很惨!norton倒是能正常报出,但是却杀不掉它,我按着它提示找到了,大致都是在windows\system32这个文件夹下面,曾有一个文件叫msblaster.exe,但要不就找不到这个文件
,要不就是找到也删不掉,那个文件似乎拒绝被删掉,还有就是勉强删掉了它还会再生。
比如norton的查毒提示如下:
scan type: realtime protection scan
event: virus found!
virus name: w32.blaster.worm
file: c:\windows\system32\tftp2216
location: quarantine
computer: drunkard
user: system
action taken: clean failed : quarantine succeeded : access denied
date found: thu aug 14 16:28:57 2003
scan type: realtime protection scan
event: virus found!
virus name: w32.blaster.worm
file: c:\windows\system32\tftp1444
location: quarantine
computer: drunkard
user: system
action taken: clean failed : quarantine succeeded : access denied
date found: thu aug 14 16:38:09 2003
还有就是病毒爆发时,复制的东西不能粘贴。我也看了新华社发的稿子说这种病毒的厉害,也是很多电脑一上网就中了招,说让打微软的最新补丁,而我在winddows update里已经全都更新过了,每次都提示“此时没有可用更新”了,说明我是装了最新windows补丁的了。但还是避免不了中招啊!另外还有介绍说这病毒是发135端口的,我再金山网镖里新添了个规则,把135端口给封死了,但照样病毒发作,点链接不起作用、断网断不开、复制后再粘贴不了、新开网页没反应等等。天啊,我试过了,windows打最新补丁,封135端口,用好几种知名杀毒软件查杀,都杀不了也拒绝不了病毒的发作,只要一上网就来事~!天啊,我该怎么办啊?~!
我这都是带病发的帖子啊!
请快来救命啊!!!!!!!!!!!!!!!!!!!!!
这个病毒一定是会变种的!刚开始发作时还有msblast.exe进程,现在在windows\system32下和任务进程里都没发现msblast.exe进程了,但病毒照样发作啊!靠,他妈的,哪个杂种搞出了这么个神神道道的超级大病毒啊?!!!!
我的是诺顿就是norton 8.0啊,我天天都去update,病毒库总是最新的,但还是无可挽回地中了招啊!它是能查出病毒并给警告,但阻止不了病毒发作也杀不掉它啊!
另外,刚试了用金山网镖把tcp的135端口和udp的69端口同时禁止封掉,情况有所缓解,注意要把tcp 135端口和udp 69端口同时封,光封tcp的135端口不行的!但病毒还是没杀掉啊,他妈的,我都急红眼了!不能总是带着那破烂的什么金山网镖来上网吧?!
大家提供的方法,有的都不敢试啊!可不可靠啊?这年头,别再中了什么招了!天啊!太厉害了!妈的!
靠,在保证封死了tcp 135端口和udp 69端口的情况下,打上了微软的823980补丁,总算现在杜绝了病毒发作:
http://download.microsoft.com/download/a/a/5/aa56d061-3a38-44af-8d48-85e42de9d2c0/windowsxp-kb823980-x86-chs.exe
但我怎么才能知道是否已经把病毒彻底杀掉了呢?缺乏保证心里慌慌啊!
msblast蠕虫安全公告
cncert/cc近期发现互联网中一种名为"msblast"的新型蠕虫在蔓延,并且接到北京、天津、山西、辽宁、广东等地很多遭感染用户的报警。国家计算机病毒应急处理中心、ccert等的报告,也表明此蠕虫的蔓延情况比较严重。同时,8月12日,国外很多cert组织也反映了同样的情况。
经分析证实该蠕虫利用了7月16日微软公布的ms03-026 microsoft windows dcom rpc接口远程缓冲区溢出漏洞。该漏洞影响所有未安装ms06-026补丁的windows 2000、windows xp、windows 2003系统,由于蠕虫会在被攻击的主机中安置后门,并且其传播会导致主机不能正常工作,所以危害很大。
cncert/cc强烈建议互联网用户和安全组织重视该蠕虫的危害,加强防范,避免损失。
cncert/cc将密切跟踪事件的发展并且及时发布相关资料。
蠕虫名称:
"冲击波"
蠕虫长度:
6,176字节,用lcc-win32 v1.03编译,upx 1.22压缩,创建时间是2003年8月11日7点21分。解压后11,296字节。
受影响的软件及系统:
microsoft windows 2000
microsoft windows xp
microsoft windows 2003
感染途径:
1. 蠕虫感染系统后首先检测是否有名为"billy"的互斥体存在,如果检测到该互斥体,蠕虫就会退出,如果没有,就创建。
2. 在注册表
hkey_local_machine\software\microsoft\windows\currentversion\run中添加以下键值:windows auto update"="msblast.exe"
以保证每次用户登录的时候蠕虫都会自动运行。
3. 蠕虫还会在本地的udp/69端口上建立一个tftp服务器,用来向其它受侵害的系统上传送蠕虫的二进制程序msblast.exe。
4. 蠕虫选择目标ip地址的时候会首先选择受感染系统所在子网的ip,然后再按照一定算法随机在互连网上选择目标攻击。
5. 向目标的tcp/135端口发送攻击数据。如果攻击成功,会监听目标系统的tcp/4444端口作为后门,并绑定cmd.exe。然后蠕虫会连接到这个端口,发送tftp命令,回连到发起进攻的主机,将msblast.exe传到目标系统上,然后运行它。
蠕虫检测到当前系统月份是8月之后或者日期是15日之后,也就是说,在1月至8月的16日至该月最后一天,以及九月至十二月的任意一天,就会向微软的更新站点"windowsupdate.com"发动拒绝服务攻击。蠕虫所带的攻击代码来自一个公开发布的攻击代码,当攻击失败时,可能造成没有打补丁的windows系统rpc服务崩溃,windows xp系统可能会自动重启。该蠕虫不能成功侵入windows 2003,但是可以造成windows 2003系统的rpc服务崩溃,默认情况下,这将使系统重启。
蠕虫代码中还包含以下文本数据:
i just want to say love you san!!
billy gates why do you make this possible ? stop making money and fix your software!!
解决方法:
1.检测是否被蠕虫感染:
1) 检查系统的%systemroot%\system32目录下是否存在msblast.exe文件。
2) 检查注册表
[hkey_local_machine\software\microsoft\windows\currentversion\run]键下是否有"windows auto update"="msblast.exe"
3) 在任务管理器中查看是否有msblast.exe的进程。
2.清除蠕虫:
如果发现系统已经被蠕虫感染,可以按照以下步骤手工清除蠕虫:
1) 终止恶意程序
打开windows任务管理器,在运行的程序清单中查找进程"msblast.exe",终止该进程的运行。
2) 删除系统目录下的msblast.exe
3) 删除注册表中的自启动项
单击 开始>运行, 输入 regedit, 然后按 enter 键打开注册表编辑器。在编辑器左侧面版中依次双击hkey_local_machine>software>microsoft>windows>currentversion>run,在右边的列表中查找并删除项目windows auto update" = msblast.exe。
3.下载补丁:
登录微软网站,安装rpc漏洞的补丁程序:
http://www.microsoft.com/technet/security/bulletin/ms03-026.asp
或者在本网站下载补丁程序。rpc蠕虫补丁下载 安装补丁后您需要重新启动系统才能使补丁生效,如有可能,请在下载完补丁后断开网络连接再安装补丁。
载补丁:
登录微软网站,安装rpc漏洞的补丁程序:
http://www.microsoft.com/technet/security/bulletin/ms03-026.asp
载补丁:
登录微软网站,安装rpc漏洞的补丁程序:
http://www.microsoft.com/technet/security/bulletin/ms03-026.asp
载补丁:
登录微软网站,安装rpc漏洞的补丁程序:
http://www.microsoft.com/technet/security/bulletin/ms03-026.asp
清除办法:
1) 终止恶意程序
打开windows任务管理器,在运行的程序清单中查找进程"msblast.exe",终止该进程的运行。
2) 删除系统目录下的msblast.exe
3) 删除注册表中的自启动项
单击 开始>运行, 输入 regedit, 然后按 enter 键打开注册表编辑器。在编辑器左侧面版中依次双击hkey_local_machine>software>microsoft>windows>currentversion>run,在右边的列表中查找并删除项目windows auto update" = msblast.exe。
3.下载补丁:
登录微软网站,安装rpc漏洞的补丁程序:
http://www.microsoft.com/technet/security/bulletin/ms03-026.asp
至少我碰到的都可以用上面的办法清除,你的如果不行干脆格式化重装
我没有
我每次装好系统都把server等好多服务都关了
我的问题解决了,我是2000系统。我的作法,先是用norton的fixblast杀毒
然后下载sp4,最后装了补丁。
现在ok了。
讨论区