毒家报道:Blast.D小档案

互联网 | 编辑: 2003-08-24 00:00:00

本栏目内容由趋势科技提供

Blast.D 小档案:
病毒名称:Blast.D拒绝仇恨者
主要症状:
1.计算机无预警自动重新激活
2.网络效能缓如牛步
清除方法:
1.趋势科技用户除立即下载安装微软修正程序外,需尽速更新趋势病毒码614(以上)
2.企业用户请立即自动更新病毒码及TSC(Trend Micro System Cleaner)病毒清除工具,以彻底清除潜藏在电脑内的病毒恶意程序。
3.请即刻下载并安装以下两个微软补丁程序
Microsoft bulletin MS03-007(针对变种)和Microsoft Security Bulletin MS03-026

目前灾情影响:
趋势科技表示:这个变种病毒不但挟带 Blast(冲击波,原名仇恨者) 相同攻击手法,还会强迫电脑下载微软补丁程序,令许多企业的数百台甚至更多台电脑同时间下载补丁程序,造成网络流量暴增,而导致网站拥塞瘫痪!根据趋势科技目前掌握到的最新消息,此变种病毒上周最先从日本与新加坡发作,目前已散布至包括大陆在内的亚洲与欧美各地,据估在全球已有数百家企业受此病毒感染,灾情还在持续增加中。由于"仇恨者病毒"多种病毒的交叉感染,已经令企业IT人员疲于奔命,趋势科技已充分掌握此变种病毒,并呼吁所有用户除立即下载安装微软修正程序外,需尽速更新趋势病毒码614,即可侦测此病毒。

破坏方式:
    “拒绝仇恨者”除了采用同样攻击微软系统RPC 的漏洞外,还会攻击WebDAV的新漏洞感染未经修正过的计算机,此病毒攻击微软系统135端口,并自动开启中毒计算机707端口(原开启4004端口)作为后门程序入侵点,在攻击并感染其它计算机。所以用户不仅要针对原WORM_MSBLAST.A(冲击波,原名仇恨者)病毒下载微软MS03-026修正程序外,再针对此变种WORM_MSBLAST.D下载微软MS03-007修正程序,才能有效遏止此病毒的交叉感染。此外,受感染的计算机会在c:\winnt\system32\wins\的目录下发现两个病毒程序,并分别以DLLHOST.exe和SVCHOST.exe两个系统文件名出现。

趋势科技指出,这个病毒有两个很特别的行为:实为一、会强迫中毒电脑自动下载并安装微软补丁程序,并无预警的重新开机。二、会自动搜寻并移除旧病毒的BLAST(冲击波,原名仇恨者).EXE 程序。由此病毒在自动下载微软程序与移除旧病毒程序的这两种病毒行为看来,表面上似乎是为清除反制“仇恨者”病毒而来,但由于其强迫电脑在未经系统需求确认的情况下,下载微软补丁程序,对个人而言,造成上网速度变慢,电脑不断重新开机;对企业用户而言,由于企业内部上百台电脑同时下载微软补丁程序,造成网络流量暴增拥塞,进而导致网站瘫痪,从而严重影响企业运作!
再次提醒:补丁打了没?
趋势科技分析表示,在经历上周在各界大力宣传“仇恨者”的危险性与告知用户尽快下载微软补丁程序并更新病毒码后,然而这个变种病毒还是对用户造成巨大杀伤力的原因如下:
1. 许多个人或企业用户尚未更新微软补丁程序
2. 许多已中毒但未察觉的电脑用户,再度与其它变种病毒交叉感染

趋势科技提醒所有电脑用户务必要按照以下方式做好防护措施,以防患未然:
1. 请即刻下载并安装以下两个微软补丁程序
Microsoft bulletin MS03-007(针对变种)和Microsoft Security Bulletin MS03-026
2. 企业用户请立即自动更新病毒码及TSC(Trend Micro System Cleaner)病毒清除工具,以彻底清除潜藏在电脑内的病毒恶意程序。
"益虫-Good worm" 常见问题集:"益虫-Good worm"是害虫还是益虫?


如同 Blast(冲击波,原名仇恨者).D 这类会主动移除其它病毒的 "益虫-Good worm",其实不是头一遭,以下是一些相关信息
1.问:有哪些与 Blast.D 雷同的"益虫-Good worm"例子?
 几乎每次重大的病毒爆发,都有类似的病毒,虽然他们真的可以清除病毒,但是也会带来不良的副作用
趋势科技网站有相关的"益虫-Good worm"信息如下:
反CodeRed 蠕虫: "CodeGreen":
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_CODEGREEN.A

反 Lion 蠕虫- "Cheese":
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=ELF_CHEESE.A


2. 问:为何趋势科技认为"益虫-Good worm"的发明者,不值得鼓励?
a. 这是犯罪行为:在许多国家这样的行为还是被视同撰写病毒的犯罪行为,因为他们并没有经过使用者同意即任意进入受害者系统,且造成网络交通瘫痪。i
b.此举严重妨害网络交通:
假设一个企业环境有 100 个系统遭受感染,所有的系统都会设法与微软网站连结并下载 结果将导致网络缓慢甚至停止运作。
c.无预警重新开机,危机四伏
任何程序码试图重新激活你的计算机,都具有一定的风险,想象一个线上股票交易机制,突然在交易运作一半时重新开机,将会导致什么后果。

3. 问:我如何分辨"益虫-Good worm"是真的对我有帮助的扫毒程序,还是它骨子里是一支特洛依木马程序?
使用者可以检查系统登录值是否已经被修改,大部分的这类蠕虫,都会修改系统登录值,

4.问: MSBlast.D 的打补丁流程真的有效吗?
翻开病毒犯罪史,大部分的病毒撰写嫌犯都没有做好程序品质把关的 QA工作,因此病毒本身往往也是臭虫百出,因为它们往往只在单一作业环境操作,不见得在其它作业环境可以得逞。
以这个 Blast(冲击波,原名仇恨者).D例子来说,它只针对英文、韩文和中文版的 Windows 产生影响,如果你是其它语言 Windows 版本用户,MSBlast(冲击波,原名仇恨者).D 会设法下载补丁,但他却无法安装。
从一般使用者角度而言,如果他根本还没有安装 Blast(冲击波,原名仇恨者) 补丁程序,MSBlast(冲击波,原名仇恨者).D 会设法下载补丁,但他却无法安装。

Blast(冲击波,原名仇恨者) 同时攻击客户端与服务器,请采用经济实用、面面俱到的趋势防毒墙中小企业包
  http://www.trendmicro.com.cn/market/newproduct.html

不同于年初的 Slammer 病毒, Blast(冲击波,原名仇恨者) 也同时盯上一般个人用户,因此企业受害面积更加广泛。被感染的机器就像是被 Blast(冲击波,原名仇恨者) 操控的俘虏,在一一清除之前,如果不迅速隔离与打补丁,将成为主动攻击其它计算机的傀儡中心。然而一般企业却无法与每隔 10 秒即会搜寻新受害者的 Blast(冲击波,原名仇恨者) 蠕虫赛跑。

* OfficeScan 5.5和ServerProtect 5.5的病毒爆发防范服务 OPS( Outbreak Prevention Service)激活,可以实时关闭病毒入侵主要端口,与封锁恶性程序 :RPC.EXE and MSBLAST(冲击波,原名仇恨者).EXE 确实避免病毒进入桌上机和服务器。
更多产品信息,请看:  http://www.trendmicro.com.cn/market/newproduct.html

相关阅读

每日精选

点击查看更多

首页 手机 数码相机 笔记本 游戏 DIY硬件 硬件外设 办公中心 数字家电 平板电脑