感染症状
如果计算机感染了此蠕虫病毒,您可能感觉不到任何症状,也可能会感觉到以下症状: 您可能会收到以下错误信息:
The Remote Procedure Call (RPC) service terminated unexpectedly.
The system is shutting down.Please save all work in progress and log off.
Any unsaved changes will be lost.
This shutdown was initiated by NT AUTHORITY\SYSTEM. 计算机可能会关机,或者反复重新启动(无固定的时间间隔)。 在基于 Windows XP 或 Windows Server 2003 的计算机上会出现一个向 Microsoft 报告的选项对话框。 如果您使用的是 Windows 2000 或 Windows NT,则可能会收到“Stop”(停止)错误信息。 在 Windows\System32 文件夹下,您可能会发现名为 Msblast.exe、Nstask32.exe、Penis32.exe、Teekids.exe、Winlogin.exe、Win32sockdrv.dll 或 Yuetyutr.dll 的文件。 可能会在计算机上找到异常文件 TFTP*。 技术细节 有关蠕虫程序对您计算机所作更改的技术细节,请联系您的防病毒软件供应商。有关蠕虫程序最初版对您计算机所作更改的技术细节,请访问以下 Microsoft Web 站点: [url=http://www.pccode.net]hnet/security/topics/virus/default.mspx"http://www.microsoft.com/technet/security/topics/virus/default.mspx
若要检测该病毒,请在 Windows\System32 文件夹中查找名为 Msblast.exe、Nstask32.exe、Penis32.exe、Teekids.exe、Winlogin.exe、Win32sockdrv.dll 或 Yuetyutr.dll 的文件;或从防病毒供应商处下载最新的防病毒软件签名,然后扫描计算机。
若要搜索这些文件,请: 单击“开始”,单击“运行”,在“打开”框中键入 cmd ,然后单击“确定”。 在命令提示符处键入 dir %systemroot%\system32\ 文件名.扩展名 /a /s ,然后按 ENTER 键,其中 文件名.扩展名 为 Msblast.exe、Nstask32.exe、Penis32.exe、Teekids.exe、Winlogin.exe、Win32sockdrv.dll 或 Yuetyutr.dll。
注意 :对这些文件名称的每一个,请重复第 2 步:Msblast.exe、Nstask32.exe、Penis32.exe、Teekids.exe、Winlogin.exe、Win32sockdrv.dll 和 Yuetyutr.dll。如果发现上述任何文件,则您的计算机可能感染了蠕虫。如果发现上述文件,请将其删除,然后按照本文“恢复”部分的步骤进行处理。若要删除文件,请在命令提示符处键入 del %systemroot%\system32\ 文件名.扩展名 /a ,然后按 ENTER 键。 防范措施 要防止计算机感染此病毒,请按以下步骤进行: 打开 Windows XP、Windows Server 2003 标准版和 Windows Server 2003 企业版中的 Windows 防火墙功能;或使用“基本防火墙”、Microsoft Internet Security and Acceleration (ISA) Server 2000 或第三方防火墙,来关闭 TCP 端口 135、139、445 和 593,关闭 UDP 端口 69 (TFTP)、135、137 和 138,以及用于远程命令外壳程序的 TCP 端口 4444。
若要打开 Windows XP 或 Windows Server 2003 中的 Windows 防火墙,请按照下列步骤操作: 单击“开始”,然后单击“控制面板”。 在“控制面板”中,双击“网络和 Internet 连接”,然后单击“网络连接”。 右击您想要打开 Windows 防火墙的连接,然后单击“属性”。 单击“高级”选项卡,然后单击以选中“通过限制或阻止来自 Internet 的对此计算机的访问来保护我的计算机和网络”复选框。 注意 :某些拨号连接可能不会在“网络连接”文件夹中显示出来。例如,AOL 和 MSN 拨号连接就可能不会显示出来。在某些情况下,您可使用下列步骤打开“网络连接”文件夹中未显示连接的 Windows 防火墙。如果这些步骤不起作用,请和您的 Internet 服务供应商 (ISP) 联系,获取如何给 Internet 连接添加防火墙的信息。 启动 Internet Explorer。 在“工具”菜单上,单击“Internet 选项”。 单击“连接”选项卡,单击您用于连接到 Internet 的拨号连接,然后单击“设置”。 在“拨号设置”区域,单击“属性”。 单击“高级”选项卡,然后单击以选中“通过限制或阻止来自 Internet 的对此计算机的访问来保护我的计算机和网络”复选框。 有关如何打开 Windows XP 或 Windows Server 2003 中的 Windows 防火墙的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章: [url=http://www.pccode.net]aspx?kbid=283673"283673 如何在 Windows XP 中启用或禁用 Windows 防火墙
注意 :只有在 Windows XP、Windows Server 2003 标准版和 Windows Server 2003 企业版上提供了 Windows 防火墙。“基本防火墙”是“路由和远程访问”的组件,对于既运行“路由和远程访问”又运行 Windows Server 2003 系列操作系统之一的计算机上的任何公共接口,都可启用“路由和远程访问”。 此蠕虫病毒使用一个以前公布的漏洞作为其中一种感染手段。因此,您必须确保在所有计算机上都安装了 823980 安全修补程序,以便修复在 Microsoft 安全公告 MS03-026 中指出的漏洞。请注意,824146 安全修补程序替代了 823980 安全修补程序。Microsoft 建议您安装 824146 安全修补程序,它还可以解决 Microsoft 安全公告 MS03-026 (823980) 中指出的问题。 有关 824146 安全修补程序的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章: [url=http://www.pccode.net]aspx?kbid=824146"824146 MS03-039:RPCSS 中的缓冲区溢出使攻击者可以运行恶意程序
有关 823980 安全修补程序和先决条件(如用于 Windows 版本的 Service Pack)的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章: [url=http://www.pccode.net]aspx?kbid=823980"823980 MS03-026:RPC 接口中的缓冲区溢出可能提供代码执行机会
要下载 824146 安全修补程序,请单击与您的操作系统对应的链接: Windows NT Workstation 4.0 http://download.microsoft.com/download/3/0/c/30cff3cd-414d-4754-b9db-276de8161eef/WindowsNT4Workstation-KB824146-x86-ENU.EXE
Windows NT Server 4.0 http://download.microsoft.com/download/6/2/1/6216d162-1283-4e05-a505-3dc67b70155c/WindowsNT4Server-KB824146-x86-ENU.EXE
Windows NT Server 4.0 终端服务器版 http://download.microsoft.com/download/8/b/5/8b534384-5ce7-482d-8886-7c3dac565f51/WindowsNT4TerminalServer-KB824146-x86-ENU.EXE
Windows 2000 http://download.microsoft.com/download/0/A/6/0A634E35-F29A-4F26-B006-D315E898EDEF/Windows2000-KB824146-x86-ENU.exe
Windows XP Home Edition、Windows XP Professional、Windows XP Tablet PC Edition 和 Windows XP Media Center Edition http://download.microsoft.com/download/C/D/D/CDD7AC92-E4CC-4B1E-BC2F-7A61B46B23BF/WindowsXP-KB824146-x86-ENU.exe
Windows XP 64-Bit Version 2002 http://download.microsoft.com/download/A/C/E/ACE7FE00-4BF7-4421-8CCF-2913395500AA/WindowsXP-KB824146-ia64-ENU.exe
Windows Server 2003(32 位) http://download.microsoft.com/download/5/7/D/57D367EB-EE72-41D6-99EC-E96724655976/WindowsServer2003-KB824146-x86-ENU.exe
Windows Server 2003 (64 位)和 Windows XP 64 位 2003 版 http://download.microsoft.com/download/0/B/2/0B2C9630-2E93-4074-94CC-E418B93646DC/WindowsServer2003-KB824146-ia64-ENU.exe
使用从您的防病毒软件供应商处获得的最新病毒检测特征库来检测新病毒及其变种。 Recovery 根据最佳安全防护方法的建议,您应在系统安全曾被破坏过的计算机上执行一次完全“干净”的安装,以便清除掉可能会在将来危及系统安全的任何隐藏利用形式。有关其他信息,请访问下面的 Cert Advisory Web 站点:http://www.cert.org/tech_tips/win-unix-system_compromise.html
但是,许多防病毒公司已经编写了一些工具,用来清除与这个特别的蠕虫程序相关的已知代码。要从防病毒软件供应商处下载清除工具,请根据您的操作系统情况执行下面的过程Windows XP、Windows Server 2003 标准版和 Windows Server 2003 企业版的恢复措施 打开 Windows XP、Windows Server 2003 标准版和 Windows Server 2003 企业版中的 Windows 防火墙功能;或使用“基本防火墙”、Microsoft Internet Security and Acceleration (ISA) Server 2000 或第三方防火墙。
若要打开 Windows 防火墙,请按照下列步骤操作: 单击“开始”,然后单击“控制面板”。 在“控制面板”中,双击“网络和 Internet 连接”,然后单击“网络连接”。 右击您想要打开 Windows 防火墙的连接,然后单击“属性”。 单击“高级”选项卡,然后单击以选中“通过限制或阻止来自 Internet 的对此计算机的访问来保护我的计算机和网络”复选框。 注意: 如果在按照这些步骤操作时,您的计算机关机或反复重新启动,则在打开防火墙前,断开和 Internet 的连接。如果是通过宽带连接到 Internet 的,请找出接到外部 DSL 或电缆调制解调器的电缆,然后将其从调制解调器或电话插孔上拔掉。如果您使用的是拨号连接,请找出从计算机内部的调制解调器连到电话插孔的电话线,然后将其从电话插孔或计算机上拔掉。如果无法断开和 Internet 的连接,请在命令提示符处键入以下命令行,以将 RPCSS 配置为在服务失败时不重新启动计算机: sc failure rpcss reset= 0 actions= restart
要在完成这些步骤后将 RPCSS 重设为默认的恢复设置,请在命令提示符处键入以下命令行: sc failure rpcss
