已偵測: 8 月 11, 2003
已更新: 2 月 13, 2007 12:08:49 PM
別名: W32/Lovsan.worm.a [McAfee], Win32.Poza.A [CA], Lovsan [F-Secure], WORM_MSBLAST.A [Trend], W32/Blaster-A [Sophos], W32/Blaster [Panda], Worm.Win32.Lovesan [KAV]
類型: 病蟲
感染長度: 6,176 bytes
受影響的系統: Windows 2000, Windows NT, Windows Server 2003, Windows XP
根據 Symantec's DeepSight Threat Management 的報告顯示與客戶所提報的件數,賽門鐵克安全機制應變中心已經將此威脅由等級 3 提昇至等級 4。
W32.Blaster.Worm 使用 TCP 埠號 135 來探測 DCOM RPC 弱點 (詳述於 Microsoft Security Bulletin MS03-026)。此病蟲的攻擊目標僅針對 Windows 2000 以及 Windows XP 機器。雖然未正確安裝修補程式的 Windows NT 及 Windows 2003 Server 機器容易受到上述探測程式的入侵,但是此病蟲的編碼並不會複製那些系統。 此病蟲會試著將 msblast.exe 檔下載至 %WinDir%\System32 資料夾,然後執行該檔案。此病蟲不具有大量郵件寄送的功能。
請通過防火墻禁止 TCP 4444 埠上的存取。如果下列埠不是在使用所列應用程式,也請禁止在下列埠上的存取:
- TCP Port 135, "DCOM RPC"
- UDP Port 69, "TFTP"
該病蟲試圖對 Windows Update 執行「拒絕服務」(DoS)攻擊。其目的是阻止你使用針對 DCOM RPC 弱點的修正程式。
更多關於此弱點的訊息,以及哪個賽門鐵克產品能紓解此弱點帶來的風險,請按此處。
注意: 這個威脅可被以下病毒定義檔偵測:
- 定義版本:50811s
- 順序編號:24254
- 延伸版本:8/11/2003, rev. 19
賽門鐵克安全機制應變中心已開發出可清除 W32.Blaster.Worm 感染的移除工具。
W32.Blaster.Worm Webcast
賽門鐵克已提供下列網路直播 (Webcast),內容是討論舒緩及補救策略,並提供阻絕服務 (DoS) 攻擊的詳細說明:
http://enterprisesecurity.symantec.com/content/webcastinfo.cfm?webcastid=63防護
-
初始快速發佈版本8 月 11, 2003
-
最新快速發佈版本 8 月 20, 2008修訂 017
-
每日初始認證版本8 月 11, 2003
-
每日最新認證版本8 月 20, 2008修訂 016
-
8 月 11, 2003
有關快速發佈版本與每日認證病毒定義檔的詳細說明,請按。
威脅評估
肆虐
-
肆虐等級: 差
-
感染數目: More than 1000
-
網站數目: More than 10
-
地域分佈: 優
-
威脅抑制: 中度
-
移除: 中度
損害
-
損害等級: 普通
-
造成系統不穩定: 可能導致電腦當機。
-
損壞安全設定: 啓動一個可遠端控制的指令殼層。
分佈
-
分佈等級: 普通
-
通訊埠: TCP 135, TCP 4444, UDP 69
-
感染目標: 執行 DCOM RPC 服務的電腦。
報導者: Douglas Knowles, Frederic Perr
