Misc: August 2003 Archives

倒楣的兩天

| | Comments (2)

上星期六, 日都和機車擦撞

星期六
在中港路和太原路口, 我走太原路往大墩方向直行, 經過一台機車,
我以為對方要直行, 靠得很近, 所以我有左偏一點, 那台機車還是繼續靠左偏,
結果就擦到我右後門, 事後問那位小姐, 她是要左轉
(那個路口是要待轉的), 還好人沒什麼事, 人沒事最要緊
看她也很可憐, 就算了
結果: 右後門凹陷, 還好沒掉漆

星期日
在精武路要轉三民路口, 我綠燈左轉三民路, 過了福音街,
一台機車衝出來撞我尾巴, 是一位老先生, 還好也沒什麼事,
跟他說下次小心一點, 也就算了
結果: "曼吧"出現一條括痕

W32.Blaster.Worm

| | Comments (0)

今天有好多朋友的電腦都中毒了

http://www.cert.org/advisories/CA-2003-20.html

症狀: 一直重新開機, 或者IE 說明裡面的版本不見, 無法剪下貼上, 某些超連結沒作用.

方法一: http://securityresponse.symantec.com/avcenter/FixBlast.exe 移除工具
但是修正檔還是要抓!

方法二:

1. 開始=>執行=>輸入 shutdown -a [ENTER]把倒數計時關掉
2. 開始=>執行=>Taskmgr.exe [ENTER] 後, 看一下有沒有MSBLAST.EXE 這個程式, 有就終止掉
3. 到 http://w3.cis92.net/rpc/ 依照作業系統去抓更新程式
2000 => http://w3.cis92.net/rpc/w2k/Windows2000-KB823980-x86-CHT.exe
xp => http://w3.cis92.net/rpc/xp/WindowsXP-KB823980-x86-CHT.exe
4. 拔掉網路線
5. 用檔案總管, 到 C:\windows\system32 底下把 MSBLAST.EXE, 先按右鍵選"內容",
把唯讀取消, 並且把檔案殺掉. (W2000是在 C:\winnt\system32 目錄).
6. 開始=>執行=> regedit.exe [ENTER], 到:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrectVersion\Run
把右邊的 Windows auto update 直接砍掉
7. 執行剛剛抓下來的更新程式
8. 重新開機
9. 接上網路線

--
目前已經有 DCOM RPC 的漏洞被不肖分子所利用, 撰寫出分散式攻擊的程式,
被攻擊的電腦將常駐一個軟體, 不但開啟後門並且自動持續攻擊其他台電腦!!
Symantec 公司將其命名為 W32.Blaster.Worm
網址在:
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html
該蠕蟲作者有計畫地將中毒的電腦於 8/15 開始,持續攻擊 windowsupdate.com 網站。
已經確定全系列的 NT-Based 系統皆受影響.
Windows 2000 從 SP0, SP1, SP2, SP3, SP4 全部受影響.
Windows XP 從 SP0, SP1 全部受影響.
Microsoft Windows NTR 4.0
Microsoft Windows NT 4.0 Terminal Services Edition
Microsoft Windows Server? 2003

!! 怎樣確定自己的電腦已經中毒 ?

* 如果你的電腦動不動就跟你說要重新開機 (60 秒)

* 或是:

[開始]->執行->Taskmgr.exe [ENTER] 後, 看一下有沒有 MSBLAST.EXE 這個
程式正在運作, 如果有, 也表示你已經中毒!

!! 中毒解毒程序: (確定這樣的解法沒有問題)
0 . 開始->執行->CMD.EXE [ENTER] (開啟Command line 視窗)
若系統跟你說要重新開機了, 請輸入shutdown -a [enter] 取消重新開機指令.
1 . 刪除 MSBLAST.EXE 這個 Process (直接在上面按右鍵, 選結束處理程序即可)
2 . 到微軟官方網站抓 DCOM RPC 的漏洞 Patch, 先存到硬碟去.
微軟官方網站:
http://www.microsoft.com/technet/security/bulletin/MS03-026.asp
3 . 拔掉網路線
4 . 用檔案總管, 到 Windows\System32 這個目錄下面找到 MSBLAST.EXE,
按右鍵選內容將唯讀取消掉, 然後把這個程式幹掉.
5 . 開始->執行->regedit.exe , 並且到:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下面
將右邊的 "windows auto update" 這個鍵值直接砍掉, 砍掉後關閉登陸編輯程式.
6 . 執行你剛剛所抓下來的 Patch
7 . 重新開機
8 . 接上網路線, 大功告成.
ps. 別忘了,若您的電腦沒有中毒,也請盡快灌 Patch :)

--
作者: chunhan (Hook Club INC.) 看板: nctu.talk
標題: [解除病毒] 重要!! 請大家盡快裝 Patch !! (新版)
時間: Tue Aug 12 09:09:34 2003

目前已經有 DCOM RPC 的漏洞被不肖分子所利用, 撰寫出分散式攻擊的程式,
被攻擊的電腦將常駐一個軟體, 不但開啟後門並且自動持續攻擊其他台電腦!!
目前 Symantec 公司已經將其命名為 W32.Blaster.Worm,美國的網站資料已經
更新,但台灣的網站還沒有。
網址在:
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html

該蠕蟲作者有計畫地將中毒的電腦於 8/15 開始,持續攻擊 windowsupdate.com 網站。
已經確定全系列的 NT-Based 系統皆受影響.
Windows 2000 從 SP0, SP1, SP2, SP3, SP4 全部受影響.
Windows XP 從 SP0, SP1 全部受影響.
Microsoft Windows NTR 4.0
Microsoft Windows NT 4.0 Terminal Services Edition
Microsoft Windows Server? 2003
=========================================
!! 怎樣確定自己的電腦已經中毒 ?
* 如果你的電腦動不動就跟你說要重新開機 (60 秒)
* 或是:
[開始]->執行->Taskmgr.exe [ENTER] 後, 看一下有沒有 MSBLAST.EXE 這個
程式正在運作, 如果有, 也表示你已經中毒!
!! 中毒解毒程序: (確定這樣的解法沒有問題)
0 . 開始->執行->CMD.EXE [ENTER] (開啟Command line 視窗)
若系統跟你說要重新開機了, 請輸入shutdown -a [enter] 取消重新開機指令.
1 . 刪除 MSBLAST.EXE 這個 Process (直接在上面按右鍵, 選結束處理程序即可)
2 . 到微軟官方網站抓 DCOM RPC 的漏洞 Patch, 先存到硬碟去.
微軟官方網站:
http://www.microsoft.com/technet/security/bulletin/MS03-026.asp
我已經 Mirror 一份到 http://w3.cis92.net/rpc/ 下面.
(在交大裡面, 只有 W2K 和 XP)
w2k 裡面的 CHT 表示中文版本, EN 表示英文版本
xp 也是一樣的.
3 . 拔掉網路線
4 . 用檔案總管, 到 Windows\System32 這個目錄下面找到 MSBLAST.EXE,
按右鍵選內容將唯讀取消掉, 然後把這個程式幹掉.
5 . 開始->執行->regedit.exe , 並且到:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下面
將右邊的 "windows auto update" 這個鍵值直接砍掉, 砍掉後關閉登陸編輯程式.
6 . 執行你剛剛所抓下來的 Patch
7 . 重新開機
8 . 接上網路線, 大功告成.

--
From: info@ms1.hinet.net
To: pank@ms12.hinet.net
Subject: HiNet緊急安全事件通報(請用戶立即參考本文解決方式,做好防護措施)

危險病毒通告--WORM_MSBLAST.A

摘要:

一隻名為WORM_MSBLASR.A的新型駭客病毒,正透過微軟 Windows 系統的漏洞,
橫掃攻擊全球各地電腦用戶。此次WORM_MSBLASR.A傳染途徑和年初爆發的「 SQL警戒病
毒」
相似,受病毒感染的電腦會利用 Windows系統漏洞採取阻斷服務攻擊 135連接埠中RPC
(remote Procedure Call ) Buffer Overrun的弱點,造成電腦無法正常作業或當機停
擺及網路壅塞
,同時再透過69與4444連結埠去攻擊感染更多的電腦。目前已知在美洲、南美洲、歐洲
與台灣均有
災情陸續傳出,並且造成某些伺服器停擺及企業Intranet網路壅塞無法使用。

影響系統:

Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows 2003

決解方法:

此病毒是利用Microsoft MS03-026漏洞進行感染、散播。請盡速下載安裝修補程式
(參閱http://www.microsoft.com/taiwan/security/bulletins/MS03-026.asp)。
如果您的電腦受到此蠕蟲感染,可以依下列方式解決。

停止惡意程式 :

1.這個步驟可以終止在記意體中執行的惡意程式.
2.開啟Windows程序管理員(Task Manager),請按鍵盤
CTRL+SHIFT+ESC, 然後點選處理程序(process)標籤.
3.在所有的程序中,找出下列程序名稱:
MSBLAST.EXE  
4.點選此惡意程序,並按下下方的終止程序按鈕.
5.請關閉程序管理員,在開啟一次程序管理員 ,檢查程序是否確實被停止.
6.關閉程序管理員.

移除登入檔的自動啟動程序 :
1.這個步驟從登入檔(registry)中移除自動啟動蠕蟲的程式,以避免開機時自動執行惡
意程式.
2.開啟登入檔編輯程式.請點選 開始>執行, 輸入 Regedit, 然後按下 Enter鍵.
3.在左方的子視窗中, 依下列順序點選:
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
4.在右方的子視窗中,點選並刪除下列的值:
Windows auto update" = MSBLAST.EXE
5.關閉登入檔編輯程式.

安裝修補程式:
請參閱http://www.microsoft.com/taiwan/security/bulletins/MS03-026.asp

參考網站:
賽門鐵克:
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.htm
l

趨勢科技:
http://www.trendmicro.com/vinfo/zh-tw/virusencyclo/default5.asp?VName=WORM_M
SBLAST.A

M 無線上網

| | Comments (0)

50/hr

[C:\]tracert 168.95.1.1

Tracing route to dns.hinet.net [168.95.1.1]
over a maximum of 30 hops:

1 13 ms 3 ms 3 ms 192.168.199.1
2 46 ms 40 ms 41 ms 100.1.1.9
3 47 ms 41 ms 43 ms 192.168.1.34
4 46 ms 42 ms 42 ms 10.10.0.3
5 48 ms 43 ms 42 ms 192.168.249.41
6 45 ms 43 ms 41 ms 238-254.easy-up.net.tw [211.76.238.254]
7 273 ms 204 ms 204 ms 211.78.151.41
8 57 ms 42 ms 41 ms 211.78.150.69
9 48 ms 43 ms 45 ms 211.78.149.66
10 48 ms 46 ms 43 ms tp-twix-r6.router.hinet.net [211.22.41.238]
11 49 ms 43 ms 44 ms tp-s2-c12r2.router.hinet.net [211.22.32.202]
12 48 ms 44 ms 43 ms tp-s2-c6r9.router.hinet.net [211.22.35.129]
13 51 ms 43 ms 46 ms dns.hinet.net [168.95.1.1]

Trace complete.

Pages

March 2008

Sun Mon Tue Wed Thu Fri Sat
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31          

About this Archive

This page is a archive of entries in the Misc category from August 2003.

Misc: July 2003 is the previous archive.

Misc: September 2003 is the next archive.

Find recent content on the main index or look in the archives to find all content.