Mapcon
17-08-2003, 03:30 AM
Thông tin cơ bản về Worm Blaster post lên đây cho anh em biết mà đề phòng.
ngờ uồn : trích từ Microsoft.com
Một loại Worm(sâu) có tên W32.Blaster.Worm (còn gọi là MBlaster, và các biến thể W32/Lovsan.worm (McAfee), WORM_MSBLAST.A (Trendmicro), MSBlast, W32.blaster.worm, Win32.posa.worm (Computer Associates), Win32.poza.worm - Loại worm này có khả năng khai thác lỗi của hệ điều hành (vô đây coi chi tiết http://support.microsoft.com/default.aspx?...b;en-us;823980) (http://support.microsoft.com/default.aspx?scid=kb;en-us;823980)).
Con này lây lan qua các port RPC mở (máy tính trong mạng nội bộ hoặc máy tính kết nối trực tiếp ra Internet). Máy tính sẽ bị Restart liên tục sau khi kết nối vào mạng hoặc có file msblast.exe trên máy.Loại worm này quét một khoảng địa chỉ IP ngẫu nhiên để tìm các máy chưa được cập nhật bản sửa lỗi đề cập trong http://support.microsoft.com/default.aspx?...kb;en-us;823980 (http://support.microsoft.com/default.aspx?scid=kb;en-us;823980). Sau khi lây nhiễm được, worm sẽ tải file MSBLAST.EXE (từ máy khác đã bị nhiễm) qua giao thức TFTP. Khi được thực thi, worm tạo khóa sau trong registry:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run "windows auto update" = msblast.exe
Nói chung triệu chứng phổ biến nhất là hiện tượng máy tính bị khởi động lại liên tục sau vài phút (đặc biệt với các máy phải đăng nhập vào mạng nội bộ để chia sẻ tài nguyên, máy in, v.v…). Các phiên bản Windows có thể dính con Worm này là :
Microsoft Windows NT 4.0 (bao gồm cả phiên bản Terminal Services Edition), Microsoft Windows 2000,Microsoft Windows XP,Microsoft Windows Server 2003
Cách phòng chống:
Bật tính năng Internet Connection Firewall (đối với Windows XP hoặc Windows Server 2003) hoặc dùng phần mềm personal firewall của hãng khác để chặn các port TCP 135, 139, 445 và 593; UDP 69 (TFTP) và TCP 4444.
Cập nhật các bản sửa lỗi cho Windows tại địa chỉ http://windowsupdate.microsoft.com/. Kiểm tra lại sau khi chạy cập nhật, http://support.microsoft.com/default.aspx?...kb;en-us;823980 (http://support.microsoft.com/default.aspx?scid=kb;en-us;823980)
Cài đặt và sử dụng các phần mềm phòng chống virus (nếu có thể). Cập nhật danh sách định nghĩa virus từ website của nhà cung cấp phần mềm phòng chống virus.
Cách xử lý khi máy bị nhiễm:
Download và cài bản sửa lỗi từ một máy sạch chưa bị nhiễm hoặc liên hệ nhà cung cấp dịch vụ theo hướng dẫn trong http://www.microsoft.com/technet/security/...in/MS03-026.asp (http://www.microsoft.com/technet/security/bulletin/MS03-026.asp)
Tắt (able/turn off) System Restore đối với các máy chạy Windows XP/Windows ME
Windows ME
Chuột phải vào biểu tượng My Computer trên Desktop và chọn Properties.
Chọn Performance tab.
Chọn File System.
Chọn Troubleshooting tab.
Chọn able System Restore.
Chọn Apply > Close > Close.
Khi máy yêu cầu khởi động lại, chọn Yes
Bấm phím F8 khi hệ thống bắt đầu khởi động lại.
Windows XP
Log on bằng Administrator.
Chuột phải vào biểu tượng My Computer trên Desktop và chọn Properties.
Chọn System Restore tab.
Chọn Turn off System Restore.
Chọn Apply > Yes > OK
Cập nhật định nghĩa virus (nếu có sử dụng chương trình phòng chống virus)
Thực hiện một trong các bước sau, tuỳ theo hệ điều hành đang sử dụng
Windows 95/98/Me: Khởi động ở chế độ Safe mode.
Bấm phím F8 khi hệ thống bắt đầu khởi động lại
Chọn Safe Mode và bấm phím Enter.<o:p></o:p>
Windows NT/2000/XP/2003: Diệt process của chương trình bằng cách
Bấm tổ hợp phím Ctrl+Alt+Delete. Chọn Task Manager. Chọn Processes tab.
Bấm đúp chuột vào cột Image Name để sắp xếp tên các process theo abc.
Tìm “msblast.exe” trong danh sách các process. Nếu tìm thấy msblast.exe, chọn process đó và bấm End Process. Quét virus trên toàn bộ các ổ cứng và xóa toàn bộ các file được phát hiện có virus W32.Blaster.Worm. Sửa các thay đổi do W32.Blaster.Worm tạo ra trong registry.( Chú ý sao lưu registry được khi có bất kỳ thay đổi nào. Nếu thay đổi registry không đúng cách có thể gây ra mất dữ liệu hoặc làm cho hệ điều hành hoạt động bất thường). Bấm vào nút Start, sau đó chọn Run. (Hộp thoại Run xuất hiện). Gõ “regedit” (không có dấu ngoặc kép “”).Bấm OK để mở chương trình Registry Editor.Tìm đến khóa:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
Tìm bên khung phải và xóa giá trị: "windows auto update"="msblast.exe"
Thoát Registry Editor.
ngờ uồn : trích từ Microsoft.com
Một loại Worm(sâu) có tên W32.Blaster.Worm (còn gọi là MBlaster, và các biến thể W32/Lovsan.worm (McAfee), WORM_MSBLAST.A (Trendmicro), MSBlast, W32.blaster.worm, Win32.posa.worm (Computer Associates), Win32.poza.worm - Loại worm này có khả năng khai thác lỗi của hệ điều hành (vô đây coi chi tiết http://support.microsoft.com/default.aspx?...b;en-us;823980) (http://support.microsoft.com/default.aspx?scid=kb;en-us;823980)).
Con này lây lan qua các port RPC mở (máy tính trong mạng nội bộ hoặc máy tính kết nối trực tiếp ra Internet). Máy tính sẽ bị Restart liên tục sau khi kết nối vào mạng hoặc có file msblast.exe trên máy.Loại worm này quét một khoảng địa chỉ IP ngẫu nhiên để tìm các máy chưa được cập nhật bản sửa lỗi đề cập trong http://support.microsoft.com/default.aspx?...kb;en-us;823980 (http://support.microsoft.com/default.aspx?scid=kb;en-us;823980). Sau khi lây nhiễm được, worm sẽ tải file MSBLAST.EXE (từ máy khác đã bị nhiễm) qua giao thức TFTP. Khi được thực thi, worm tạo khóa sau trong registry:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run "windows auto update" = msblast.exe
Nói chung triệu chứng phổ biến nhất là hiện tượng máy tính bị khởi động lại liên tục sau vài phút (đặc biệt với các máy phải đăng nhập vào mạng nội bộ để chia sẻ tài nguyên, máy in, v.v…). Các phiên bản Windows có thể dính con Worm này là :
Microsoft Windows NT 4.0 (bao gồm cả phiên bản Terminal Services Edition), Microsoft Windows 2000,Microsoft Windows XP,Microsoft Windows Server 2003
Cách phòng chống:
Bật tính năng Internet Connection Firewall (đối với Windows XP hoặc Windows Server 2003) hoặc dùng phần mềm personal firewall của hãng khác để chặn các port TCP 135, 139, 445 và 593; UDP 69 (TFTP) và TCP 4444.
Cập nhật các bản sửa lỗi cho Windows tại địa chỉ http://windowsupdate.microsoft.com/. Kiểm tra lại sau khi chạy cập nhật, http://support.microsoft.com/default.aspx?...kb;en-us;823980 (http://support.microsoft.com/default.aspx?scid=kb;en-us;823980)
Cài đặt và sử dụng các phần mềm phòng chống virus (nếu có thể). Cập nhật danh sách định nghĩa virus từ website của nhà cung cấp phần mềm phòng chống virus.
Cách xử lý khi máy bị nhiễm:
Download và cài bản sửa lỗi từ một máy sạch chưa bị nhiễm hoặc liên hệ nhà cung cấp dịch vụ theo hướng dẫn trong http://www.microsoft.com/technet/security/...in/MS03-026.asp (http://www.microsoft.com/technet/security/bulletin/MS03-026.asp)
Tắt (able/turn off) System Restore đối với các máy chạy Windows XP/Windows ME
Windows ME
Chuột phải vào biểu tượng My Computer trên Desktop và chọn Properties.
Chọn Performance tab.
Chọn File System.
Chọn Troubleshooting tab.
Chọn able System Restore.
Chọn Apply > Close > Close.
Khi máy yêu cầu khởi động lại, chọn Yes
Bấm phím F8 khi hệ thống bắt đầu khởi động lại.
Windows XP
Log on bằng Administrator.
Chuột phải vào biểu tượng My Computer trên Desktop và chọn Properties.
Chọn System Restore tab.
Chọn Turn off System Restore.
Chọn Apply > Yes > OK
Cập nhật định nghĩa virus (nếu có sử dụng chương trình phòng chống virus)
Thực hiện một trong các bước sau, tuỳ theo hệ điều hành đang sử dụng
Windows 95/98/Me: Khởi động ở chế độ Safe mode.
Bấm phím F8 khi hệ thống bắt đầu khởi động lại
Chọn Safe Mode và bấm phím Enter.<o:p></o:p>
Windows NT/2000/XP/2003: Diệt process của chương trình bằng cách
Bấm tổ hợp phím Ctrl+Alt+Delete. Chọn Task Manager. Chọn Processes tab.
Bấm đúp chuột vào cột Image Name để sắp xếp tên các process theo abc.
Tìm “msblast.exe” trong danh sách các process. Nếu tìm thấy msblast.exe, chọn process đó và bấm End Process. Quét virus trên toàn bộ các ổ cứng và xóa toàn bộ các file được phát hiện có virus W32.Blaster.Worm. Sửa các thay đổi do W32.Blaster.Worm tạo ra trong registry.( Chú ý sao lưu registry được khi có bất kỳ thay đổi nào. Nếu thay đổi registry không đúng cách có thể gây ra mất dữ liệu hoặc làm cho hệ điều hành hoạt động bất thường). Bấm vào nút Start, sau đó chọn Run. (Hộp thoại Run xuất hiện). Gõ “regedit” (không có dấu ngoặc kép “”).Bấm OK để mở chương trình Registry Editor.Tìm đến khóa:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
Tìm bên khung phải và xóa giá trị: "windows auto update"="msblast.exe"
Thoát Registry Editor.