模板
教程
环境
性能
功能
管理
Windows系统弱口令的恶性蠕虫防范公告
2003年3月8日下午,国内主干网上发现异常IP数据包且流量很大。经过CNCERT的详细跟踪与分析,确认该事件的产生原因为一种未知的新型恶性蠕虫,鉴于此蠕虫危害大、传播力强,若不及时加以控制,将会引发较大的损失,CNCERT 特发布此公告提醒广大用户及时采取相
2003年3月8日下午,国内主干网上发现异常IP数据包且流量很大。经过CNCERT的详细跟踪与分析,确认该事件的产生原因为一种未知的新型恶性蠕虫,鉴于此蠕虫危害大、传播力强,若不及时加以控制,将会引发较大的损失,CNCERT 特发布此公告提醒广大用户及时采取相应措施,防止和减少该蠕虫所带来的影响,同时CNCERT将继续保持对此蠕虫的紧密跟踪,请及时关注网站新的安全公告。病毒种类:恶性蠕虫
病毒威胁:安装远程控制后门,扩散过程可能造成网络堵塞。
病毒介绍:
该蠕虫属于黑客行为的蠕虫病毒,它通过扫描Win2k或者XP的445端口,然后进行共享会话猜测管理员系统口令。如果猜测到口令,则蠕虫建立管理会话,用psexec.exe程序通过共享上传蠕虫文件,在被感染的主机上,在注册表中Software\Microsoft\Windows\CurrentVersion\Run设置启动项,以便病毒能够在系统启动的时候加载运行。蠕虫会在主机上开启VNC后门,该后门开启5800和5900端口,能够进行远程控制。蠕虫开启扫描进程,对随机生成的IP地址进行扫描来传播感染其他主机。
建议用户用下面办法来检查是否被病毒感染:
查看系统进程是否存在Dvldr32.exe,以确认是否被病毒感染,如果您的系统被感染,那么可以结束该进程,并在正确的目录下删除相应的蠕虫文件和注册表键值,然后重新启动系统。
建议解决办法:
网管用户:
在路由器等设备上作相应端口的过滤,具体做法如下:
aclearcase/" target="_blank" >ccess-list 110 deny udp any any eq 1434(因SQL SLAMMER病毒又有增多的迹象)
access-list 110 deny tcp any any eq 445
access-list 110 deny tcp any any eq 5800
access-list 110 deny tcp any any eq 5900
access-list 110 deny 255 any any
access-list 110 deny 0 any any
access-list 110 permit ip any any
终端用户:
采取如下措施:
(1) 为Administrator设置一个强壮的密码。
(2) 中止名为dvldr32.exe的进程。
(3) 删除如下异常文件:
| 文件名 | 可能出现的目录 | 长度 |
| dvldr32.exe | %windir%/system32(NT/2K) %windir%/system(9x) | 745,98 |
| explorer.exe | %windir%/fonts | 212,992 |
| omnithread_rt.dll | %windir%/fonts | 57,344 |
| VNCHooks.dll | %windir%/fonts | 32,768 |
| rundll32.exe | %windir%/fonts | 29,336 |
| cygwin1.dll | %windir%/system32(NT/2K) %windir%/system(9x) | 944,968 |
| INST.exe | C:Documents and SettingsAll UsersStart MenuProgramsStartup C:WINDOWSStart MenuProgramsStartupinst.exe C:WINNTAll UsersStart MenuProgramsStartupinst.exe | 684,562 |
(4) 重新启动机器。
(5) 如无必须,建议关闭5800、5900端口
