飞扬围棋
标题: 这两天流行“流言”病毒,大家关注! [打印本页]
作者: zpat 时间: 2003-8-12 17:51
标题: 这两天流行“流言”病毒,大家关注!
流言病毒解决方案
从昨天开始,陆续接到用户感染流言病毒的报告。其现象是报错,并重启。经过研究,现在提出一个临时的解决方案。如下:
1、 使机器不再重启:
进行管理工具,选择服务,在其中找到Remoter Procedure Call(RPC)项,点击右键,在弹出菜单中选择属性,再选择“恢复”卡片,在“第一次失败”、“第二次失败”和“后续失败”的下拉框中选择“不操作”,再单击确定。(也可以安全模式重启,但好像不太可靠,特别是对宽带上网的用户更是如此)。
2、 安装(可从微软的网站上下载)下面的补丁程序:
WinXPWindowsXP-KB823980-x86-CHS.exe)
Win2000ProWindows2000-KB823980-x86-CHS.exe)
3、 执行完上述操作后,恢复第一步操作中的修改到原始状态。请各位按上述方法进行。
http://www.microsoft.com/china/technet/security/bulletin/MS03-026.asp
作者: 阿扬 时间: 2003-8-12 18:01
装个防火墙就可以了。或者把135口给关掉。
作者: cigarsking 时间: 2003-8-12 21:10
多谢羽焰,我用上了!!
[em10]
作者: 凝兰 时间: 2003-8-12 23:20
羽焰贴得太晚了,下班前没看到
等到晚10:00连线时,机器重启无数次,惊魂一小时...
汗~现在突然发觉将来还是找个IT界的BF好
作者: zpat 时间: 2003-8-13 00:23
IT界的BF只能帮你治电脑的毛病,
还是找个做医生的BF更好!哈哈哈。。。
作者: gianttoad 时间: 2003-8-13 00:52
按你这么说还是不要bf好,给各界人士留个希望[em05]
作者: s-song 时间: 2003-8-13 08:23
关闭135端口
135端口开放实际上是一个WINNT漏洞,开放的135的端口情况容易引起自外部的"Snork"攻击。
对于135端口开放的问题,可以在你的防火墙上,增加一条规则:拒绝所有的这类进入的UDP包,目的端口是135,源端口是7,19,或者135,这样可以保护内部的系统,防止来自外部的攻击。大多数防火墙或者包过滤器已经设置了很多严格的规则,已覆盖了这条过滤规则,但仍需注意:有一些NT的应用程序,它们依靠UDP135端口进行合法的通讯,而打开你135的端口与NT的RPC服务进行通讯。如果真是这样,你一定要在那些原始地址的系统上(需要135口通讯),实施上述的规则,指定来自这些系统的通讯可以通过防火墙,或者,可以被攻击检测系统所忽略,以便维持那些应用程序的正常连接。
[此贴子已经被作者于2003-8-13 8:25:00编辑过]
作者: s-song 时间: 2003-8-13 08:27
关闭139端口(NetBIOS提供服务的tcp端口)
Netbios(NETwork Basic Input/Output System)网络基本输入输出系统。是1983年IBM开发的一套网络标准,微软在这基础上继续开发。微软的客户机/服务器网络系统都是基于NetBIOS的。在利用Windows NT4.0 构建的网络系统中,对每一台主机的唯一标识信息是它的NetBIOS名。系统可以利用WINS服务、广播及Lmhost文件等多种模式将NetBIOS名解析为相应IP地址,从而实现信息通讯。在这样的网络系统内部,利用NetBIOS名实现信息通讯是非常方便、快捷的。但是在Internet上,它就和一个后门程序差不多了。因此,我们很有必要堵上这个可怕的漏洞。
对于win9x :
在windows9x下如果你是个拨号用户。完全不需要登陆到nt局域网络环境的话。只需要在控制面板-网络-删除microsoft网络用户,使用microsoft友好登陆就可以了。但是如果你需要登陆到nt网络的话。那这一项就不能去处。因为nt网里需要使用netbios。
方法1:
1.检查NetBEUI是否出现在配置栏中。打开控制面版,双击“网络”选项,打开“网络”对话框。在“配置”标签页中检查己安装的网络组件中是否有NetBEUI。如果没有,点击列表下边的添加按钮,选中“网络协议”对话框,在制造商列表中选择微软,在网络协议列表中选择NetBEUI。点击确定,根据提示插入安装盘,安装NetBEUI。
2.回到“网络”对话框,选中“拨号网络适配器”,点击列表右下方“属性”按钮。在打开的“属性”对话框中选择“绑定”标签页,将除“TCP/IP->网络适配器”之外的其它项目前复选框中的对勾都取消!
3.回到“网络”对话框,选中“TCP/IP->拨号网络适配器”点击列表右下方“属性”按钮,不要怕弹出的警告对话框,点击“确定”。在“TCP/IP属性”对话框中选择“绑定”标签页,将列表中所有项目前复选框中的对勾都取消!点击“确定”,这时Windows会警告你“尚未选择绑定的驱动器。现在是否选择驱动器?”点击“否”。之后,系统会提示重新启动计算机,确认。
4.证实己取消绑定。重新进入“TCP/IP->拨号网络适配器”的“TCP/IP属性”对话框,选定“NetBIOS”标签页,看到“通过TCP/IP启用NetBIOS”项被清除了吧!连点两次“取消”退出“网络”对话框(不要点“确认”,免得出现什么意外)。
方法2:
运行RegEdit.exe 查找串“vnetbios”,找到后再选择“查找下一个”,将找到象“blahblah\\VxD\\VNETBIOS\\”的串,删除“VNETBIOS”项即可。 操作一定要谨慎,误操作可能导致系统崩溃,另关掉139端口后将无法共享文件和打印功能。
对于winNT :
在windowsNT下你可以取消netbios与TCP/IP协议的绑定。控制面板-网络-Netbios接口-WINS客户(tcp/ip)-禁用。确定。重启。这样nt的计算机名和工作组名也隐藏了,不过会造成基于netbios的一些命令无法使用。如net等。
对于WIN2000 :
选中网络邻居——》右键——》本地连接——》INTERNET协议(TCP/IP)——》属性——》高级——》选项——》TCP/IP筛选——》在“只允许”中填入除了137,138,139只外的端口。如果你在局域网中,会影响局域网的使用。
后门的端口
137,138是udp端口。当通过网络邻居传输文件的时候就是通过这个2个端口.139端口是netbios提供服务的tcp端口。在windows9x下可以完全关闭这几个端口。完全禁止了netbios服务。方式是在控制面板-网络-只保留tcp/ip协议和拨号网络适配器。但是这样windows会提示你网络不完整。但是还可以继续使用。在tcp/ip协议里的netbios一项不要选择绑定到tcp/ip协议。这时候你的netbios服务完全停止了。你的机器也没有137,138和139端口了。这样追捕也搞不清你到底是9x还是unix了。windowsNT下可以封锁这些端口。封锁不必要的TCP和UDP端口可以通过在网络控制面板的IP地址对话框中进行配置来完成。 点击高级按钮激活高级IP地址对话框, 然后点击Enable Secury 对话框,然后点击配置按钮激活TCP/IP安全对话框, 那里列出了那些TCP和UDP端口被允许了。但是好像不能识别拨号网络适配器。
以上的方法都是给不需要连接入局域网的计算机的配置方法。如果你是一台拨号上网的单机那么完全可以禁止netbios服务。但是如果你需要接入局域网的话。那你只能注意加密你的共享资源了。否则全互联网的人都可以通过这个windows的“后门”到你的计算机里了:)
作者: 阿扬 时间: 2003-8-13 09:03
推荐大家用天网,对付一般的攻击足够
作者: 凝兰 时间: 2003-8-13 09:06
song真是博学...
另,昨天的经验还有,这个软件是叫别人QQ给我的,很小的文件,好像在1分钟就可以搞定,然后断开网络,就不会反复重启了,装好后再连上网就没事了,想想还是后怕.
作者: 大江东去 时间: 2003-8-13 09:34
以下是引用凝兰在2003-8-13 9:06:01的发言:
song真是博学...
同感,pfpf。
作者: 花似玉 时间: 2003-8-13 12:41
提示: 作者被禁止或删除 内容自动屏蔽
作者: 凝兰 时间: 2003-8-13 12:48
"安装(可从微软的网站上下载)下面的补丁程序:
WinXPWindowsXP-KB823980-x86-CHS.exe)
Win2000ProWindows2000-KB823980-x86-CHS.exe)"
只要装了这个补丁就好了...
作者: ybyxk 时间: 2003-8-13 13:02
装个诺顿杀毒软件 2003 正式版吧
http://soft.winzheng.com/SoftView/SoftView_4726.htm
作者: 佳藤镇夫 时间: 2003-8-13 13:18
昨天刚搞定,解决方案如下:
第一,到以下地址下载微软的补丁程序,避免此漏洞带来的危害: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp 如果不能下载补丁。
或用第二方案也行:用天网、金山网镖等网络防火墙关闭“135 139 445”三个端口,以防止病毒的攻击。
作者: 花似玉 时间: 2003-8-13 13:32
提示: 作者被禁止或删除 内容自动屏蔽
作者: zpat 时间: 2003-8-13 13:44
正式解决方案:
提示:
如果您的电脑还没有感染该病毒,那么请您直接按照步骤二下载相应的补丁程序并安装;
如果您的电脑已经感染了该病毒,那么请您按照如下步骤操作进行(以XP操作系统为例,Win2000系统可以参考XP系统的解决方法)。
一、使机器不再重启:
1、右键单击“我的电脑” →“管理” → “服务”(或者通过“开始”→“控制面板”→“性能和维护”→“管理工具”→“服务”进入服务选项)(见图1)
<img src="attachments/dvbbs/20038131362487902.gif" border="0" onclick="zoom(this)" onload="if(this.width>document.body.clientWidth*0.5) {this.resized=true;this.width=document.body.clientWidth*0.5;this.style.cursor='pointer';} else {this.onclick=null}" alt="" />
图1
2、在其中找到Remoter Procedure Call(RPC)项,在此项上点击右键,在弹出菜单中选择属性(见图2),再选择“恢复”卡片,在“第一次失败”、“第二次失败”和“后续失败”的下拉框中选择“不操作”,再单击确定。
<img src="attachments/dvbbs/20038131371860035.jpg" border="0" onclick="zoom(this)" onload="if(this.width>document.body.clientWidth*0.5) {this.resized=true;this.width=document.body.clientWidth*0.5;this.style.cursor='pointer';} else {this.onclick=null}" alt="" />
图2
二、安装微软补丁程序
1、如果您没有安装sp1补丁包,请下载SP1补丁:Windows XP SP1服务包 按提示执行安装,结束后重新启动计算机。
2、点击此链接进入微软网站下载此补丁程序:WindowsXP-KB823980-x86-CHS.exe 按提示执行安装,结束后重新启动计算机。
3、执行完上述操作后,恢复第一步操作中所做的更改,具体如下:
a、右键单击“我的电脑”-“管理”-“服务” (或者通过“开始”→“控制面板”→“性能和维护”→“管理工具”→“服务”进入服务选项)
b、在其中找到Remoter Procedure Call(RPC)项,在此项上点击右键
c、在弹出菜单中选择属性,再选择“恢复”卡片,在“第一次失败”、“第二次失败”和“后续失败”的下拉框中选择“重新启动计算机”, 再单击确定。
注意:
1、对于Windows 2000系统,操作步骤可以参考XP系统的解决方法,但是必须在安装了SP4补丁后(Windows 2000 SP4服务包),才能安装Windows2000-KB823980-x86-CHS.exe补丁(点击此链接进入微软网站下载Windows2000的相应补丁程序Windows2000-KB823980-x86-CHS.exe);
2、对于Windows XP系统,必须在安装了SP1后,才能安装WindowsXP-KB823980-x86-CHS.exe 补丁。
在Windows XP下检查是否已安装了SP1,可通过下列方法检查:
鼠标右键单击“我的电脑”,在弹出的菜单中选择“属性”,在“常规”卡片中的版权信息下,如果安装了SP1,就会显示“Service Packet 1”字样,如果没有就需要安装SP1补丁程序,具体如下:
<img src="attachments/dvbbs/200381314413269200.gif" border="0" onclick="zoom(this)" onload="if(this.width>document.body.clientWidth*0.5) {this.resized=true;this.width=document.body.clientWidth*0.5;this.style.cursor='pointer';} else {this.onclick=null}" alt="" />
三、彻底查杀
1、点击该链接进入诺顿网站下载诺顿专用杀毒工具:http://securityresponse.symantec.com/avcenter/FixBlast.exe ,将此工具下载并保存到本机。
2、重新启动系统,在进入开机画面时连续点击F8键,选择安全模式进入系统
3、在安全模式下直接运行诺顿专杀工具FixBlast.exe进行全机扫描,反复进行两次
4、重新启动计算机进入正常模式。
[此贴子已经被作者于2003-8-13 14:41:58编辑过]
作者: 999999999a 时间: 2003-8-13 16:09
为什么现在这么多病毒,有的人真是无聊啊
作者: 大头白菜 时间: 2003-8-13 16:21
最简单的方法:本地连接属性--internet协议(tcp/ip)--属性--高级--选项--tcp/ip筛选--启用tcp/ip筛选--用哪个就开哪个
用不着买什么病毒软件
目前我见过的rpc类病毒似乎都在端口与某个地址建立连接后发作,象这样掩耳盗铃就足够了
作者: zl21zl 时间: 2003-8-13 18:41
提示: 作者被禁止或删除 内容自动屏蔽
作者: 宜城老僧 时间: 2003-8-14 10:06
xorala.2048 msblast 冲击波流言,偶的服务器一个都不能少啊!
55555..... 正在抢救ing...........
作者: lemuel 时间: 2003-8-14 10:09
谢谢了,下载中。。。。。
作者: lleon 时间: 2003-8-15 13:28
俺装了还原精灵和cih免疫器,什么都不怕[em01][em05]
作者: 我的天哪 时间: 2003-8-15 23:02
thank,
现在的病毒太厉害了,吓。。。。
作者: 唐秋月 时间: 2003-8-16 08:34
k
作者: whchenyu 时间: 2003-8-17 11:24
提示: 作者被禁止或删除 内容自动屏蔽
作者: 豪腕 时间: 2003-8-20 21:00
恍恍忽忽
欢迎光临 飞扬围棋 (http://bbs.flygo.net/Bbs/) |
Powered by Discuz! X3.2 |