[求助] WINXP下的Remote Procedure Call(PRC)服務被中止...

cmcyijui

Hinet 寄Email給我
大家參考看看
  
================================================================
危險病毒通告--WORM_MSBLAST.A
  
摘要：
  
一隻名為WORM_MSBLASR.A的新型駭客病毒，正透過微軟 Windows 系統的漏洞，
橫掃攻擊全球各地電腦用戶。此次WORM_MSBLASR.A傳染途徑和年初爆發的「 SQL警戒病毒」相似，受病毒感染的電腦會利用 Windows系統漏洞採取阻斷服務攻擊 135連接埠中RPC(remote Procedure Call ) Buffer Overrun的弱點，造成電腦無法正常作業或當機停擺及網路壅塞，同時再透過69與4444連結埠去攻擊感染更多的電腦。目前已知在美洲、南美洲、歐洲與台灣均有災情陸續傳出，並且造成某些伺服器停擺及企業Intranet網路壅塞無法使用。
  
影響系統：
  
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows 2003
  
決解方法：
  
此病毒是利用Microsoft MS03-026漏洞進行感染、散播。請盡速下載安裝修補程式
(參閱http://www.microsoft.com/taiwan/security/bulletins/MS03-026.asp)。
如果您的電腦受到此蠕蟲感染，可以依下列方式解決。
  
停止惡意程式 :
  
1.這個步驟可以終止在記意體中執行的惡意程式.
2.開啟Windows程序管理員(Task Manager)，請按鍵盤
   CTRL+SHIFT+ESC, 然後點選處理程序(process)標籤.
3.在所有的程序中，找出下列程序名稱:
   MSBLAST.EXE 　
4.點選此惡意程序,並按下下方的終止程序按鈕.
5.請關閉程序管理員，在開啟一次程序管理員 ，檢查程序是否確實被停止.
6.關閉程序管理員.
  
移除登入檔的自動啟動程序 :
1.這個步驟從登入檔(registry)中移除自動啟動蠕蟲的程式，以避免開機時自動執行惡
意程式.
2.開啟登入檔編輯程式.請點選 開始>執行, 輸入 Regedit, 然後按下 Enter鍵.
3.在左方的子視窗中, 依下列順序點選:
   HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
4.在右方的子視窗中,點選並刪除下列的值:
   Windows auto update" = MSBLAST.EXE
5.關閉登入檔編輯程式.
  
安裝修補程式:
        請參閱http://www.microsoft.com/taiwan/security/bulletins/MS03-026.asp
參考網站：
賽門鐵克:
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html
趨勢科技:
http://www.trendmicro.com/vinfo/zh-tw/virusencyclo/default5.asp?VName=WORM_M
SBLAST.A

Jonry

搞了一天, 晚上十一點多才離開公司...
  
一早起床, 就看到手機上有簡訊, 是趨勢和Symantec的病毒警告, 我對這種病毒簡訊已經習以為常了, 也就沒什麼在意, 還是和往常一樣, 東摸摸西玩玩, 弄到快遲到才出門。
  
到了公司, OP 馬上就來電, 說有人疑似中毒, 我還半信半疑; 問清楚原因後, 只是 Outlook 打不開, 我只回應了一句: Outlook 打不開, Office 重灌就好啦, 哪有什麼中毒...
  
結果話說完不到三分鐘, 一堆電話湧進來: 又是 Outlook 打不開, 又是 Excel 不能用... 我才警覺到事態嚴重, 馬上到 Symantec 的網站, 看了 Blaster 這隻病毒的資料, 曉得是用微軟之前的漏洞進來的。我當時心裡還在慶幸: 還好, 公司的 File Server 和 Mail Server 在上個星期就已經下 Hotfix 了, 應該沒事...
  
哪知, Server 沒事, Client 端麻煩卻一堆!! 公司某一層樓, 所有的 user 都在叫 Outlook 沒辦法開, Excel 和 Word 也沒辦法用。我心裡一涼, 糟! Server 的 Hotfix 都下了, Client 沒半台下 Hotfix!  
  
於是我就開始打電話找救兵, 沒想到 Symantec 和 Trend 的服務電話都打不進去。每次這種時候, 我就知道, 今天又是難過的一天...
  
忙了一個上午之後, 我還是找不到 msblast.exe, 所以我很難相信, 真的是病毒竄進公司裡來。後了愈來愈多的證據, 都指向 Blaster 這隻病毒。即然求助無門, 我就只好上網找資料, 在匯總了各方的意見後, 才發現 Hotfix KB823980 也許才是解藥!
  
原本以為, 把 Hotfix 撒下去後, 問題就可以解決, 但是, 我又忽略了一點: 依微軟的建議, 在 Win2K 上裝 KB823980 之前, 要先裝 Service Pack 3 ! 我想又糟, 公司裡有一千多台的 Windows 2000, 其中上到 Service Pack 3 的不過兩三百台, 剩下的七八百台要先裝 Service Pack 3, 才能裝 KB823980 ??
  
這時老闆下令, 即然是微軟的建議, 那就照辦 !! ( !*%$U#... 這時, 我真想把那個 BG 海扁一頓)。於是, 我就埋頭苦思, 要如何把全公司七, 八百台的電腦, 全裝上 Service Pack 3 ? 公司裡最有力的工具, 就是 SMS 和 Logon Script 。
  
我對 Logon Script 比較熟, 所以我花了近六個小時的時間, 寫了一套完整的 Logon Script, 對還沒裝 SP3 的電腦, 都給他裝上去, 再把已經裝好 SP3/4 的電腦, 裝上 KB823980; 再寫一封圖文並茂的 email, 發給全公司, 請大家點一點 mail 裡的 link, 直接安裝 SP3.
  
弄得差不多, 準備走人回家, 這時候微軟打電話來, 說 Blaster 已經出變種病毒了, 這次受害者是 IE 和 IIS。哇咧~~~ 這什麼跟什麼嘛... 不管了, 反正 SP/Hotfix 都請 user 下了, 管他的,
回家皇帝大...

cooltony

真是辛苦..   .__.

rex1112

唉!!我到凌晨2:30才告一段落!!早上又得在忙一天囉!!這..真是搞慘我囉!!

HUANGLIFU

阿夫在這裡只能為各位MIS苦力精神上支持，加油~~~~

parrot

跟病毒搏鬥的大家一起加油吧
剛剛已經先手動更新 Symantec 病毒碼 8/12 和 Trend 病毒碼 606
  
Parrot

Jonry

Lucian wrote:
貴公司每個人都是自己 local 的 administrator嗎？！

為避免麻煩, 是的 !

如果不是，請教如何讓 power user 做 hotfix、SP？！
如果不是，再請教如何用 logon script 讓他們做 update？！
謝謝！

我只能指出個方向, 因為我沒真正的試過...
  
用 VB 寫 Script, 再用 Runas 這個指令, 帶 local Admin 的權限.
Runas 這個指令的用法, 就是:
Runas /user:administrator <程式>
  
問題就在密碼不能寫在 DOS Script 裡, 要用 VB Compiler 起來,
不然 Admin 的密碼外洩, 問題就很大了...
  
其他的我還沒試過, 因為我當初就曉得裝程式時, 如果沒有 local admin
的權限, 會相當麻煩, 所以才把 user 都加到 local admin 裡去...

parrot

今天跟朋友聊天發現, 透過實體 ip 連上 internet 的比較容易中獎
  
Parrot

Jerry

唉，忙了二天，公司今天終於搞定了。
幸好公司win98還佔大部份，不然就死的很慘。

拍郎

parrot wrote:
今天跟朋友聊天發現, 透過實體 ip 連上 internet 的比較容易中獎
  
Parrot

  
不一定啦
主要感染方式是攻擊某個 port
所以大多數在 NAT 架構下的
除非有設定 DMZ 區
或是區網內有人中獎
要不然是不會被感染
  
實體 IP 的話
如果沒有防火牆
或是沒有關閉該 port
又沒有 hotfix 的話
就會中獎了

jenwei

foundstone 出了一個掃瞄工具，可以檢查網路尚未修補漏洞的PC
http://www.foundstone.com/index. ... roddesc/rpcscan.htm
  
----------------------
修改備註：
原iframe會自動導向到該公司網站，為避免閱覽上的問題，故修改成url。
by huanglifu

guruguru

剛剛用電話教了一個不會用電腦and用撥接上網的人裝這修正檔...
搞了快2小時才弄好...
  
一開始"工作管理員"程式找不到"處理程序"，後來才想到原因...
二來windows.com的檔案抓不下來，還好國內有人在網站上有放...
三來連刪除檔案都要一步一步的教....
四來竟然撥接的在電腦沒上網時病毒也會發作???  怪....
  
明天5:30起床...  -_-
  
各位MIS跟客服人員辛苦了....

guruguru

在win2000印象中好像可以由AD Server強迫在同一個域名中的電腦安裝檔案或更新程式等...
MCSE都忘光光了...

Jonry

guruguru wrote:
在win2000印象中好像可以由AD Server強迫在同一個域名中的電腦安裝檔案或更新程式等...
MCSE都忘光光了...

Yes, Group Policy 裡的 Remote Install。不過...很難用...

Katsuya

I think it's a bit late to post this but anyway~~
  
嗯，這是目前最熱門的 exploit 了。 尤其在www.xforcus.net 直接把攻擊程式原始碼公布出來後，更是讓這個漏洞成為許多電腦安全/系統討論網站的熱門話題。  
  
利用這個對 RPC 的攻擊，Hacker 可以造成系統死當（必須要重新開機），和取得管理員資格。  
  
http://www.xfocus.org/documents/200307/2.html  
中文版好像被移除了.. 奇怪.. 在 forum 內可以找到其他更多關於這個漏洞的討論（不過一般人比較喜歡討論的似乎是，這個攻擊的成功率，程式跑不跑得起來）  
  
--  
  
Microsoft RPC接口遠程任意代碼可執行漏洞  
  
發佈時間：2003-07-14  
更新時間：2003-07-14  
嚴重程度：高  
威脅程度：遠程管理員權限  
錯誤類型：設計錯誤  
利用方式：服務器模式  
CVE(CAN) ID：CAN-2003-0352  
  
受影響系統  
  
Microsoft Windows NT? 4.0  
Microsoft Windows NT 4.0 Terminal Services Edition  
Microsoft Windows 2000  
Microsoft Windows XP  
Microsoft Windows Server? 2003  
  
詳細描述  
Remote Procedure Call (RPC)調用是WINDOWS使用的一個協議，提供進程間交互通信，允許程序在遠程機器上運行任意程序。  
  
RPC在處理通過TCP/IP進行信息交換過程中存在漏洞，問題由於不正確處理畸形消息造成。主要此漏洞影響使用RPC的DCOM接口，監聽RPC使能的接口，這個接口處理DCOM對像激活請求。攻擊者如果成功利用此漏洞，可以以系統用戶權限執行任意代碼。  
  
要利用這個漏洞，可以發送畸形請求給遠程服務器監聽的特定RPC端口。如135、139、445等任何配置了RPC端口的機器。  
  
測試代碼  
尚無  
  
解決方案  
採用防火牆過濾這些配置了RPC的端口。  
  
補丁下載：  
  
Windows NT 4.0 Server ：  
  
http://microsoft.com/downloads/details.aspx?FamilyId=2CC66F4E-217E-4FA7-BDBF-DF77A0B9303F&displaylang=en  
  
Windows NT 4.0 Terminal Server Edition：  
  
http://microsoft.com/downloads/details.aspx?FamilyId=6C0F0160-64FA-424C-A3C1-C9FAD2DC65CA&displaylang=en  
  
Windows 2000：  
  
http://microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F-220354449117&displaylang=en  
  
Windows XP 32 bit Edition ：  
  
http://microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=en  
  
Windows XP 64 bit Edition：  
  
http://microsoft.com/downloads/details.aspx?FamilyId=1B00F5DF-4A85-488F-80E3-C347ADCC4DF1&displaylang=en  
  
Windows Server 2003 32 bit Edition：  
  
http://microsoft.com/downloads/details.aspx?FamilyId=F8E0FF3A-9F4C-4061-9009-3A212458E92E&displaylang=en  
  
Windows Server 2003 64 bit Edition：  
  
http://microsoft.com/downloads/details.aspx?FamilyId=2B566973-C3F0-4EC1-995F-017E35692BC7&displaylang=en  
  
相關信息  
參考：http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp