9,506
社区成员
发帖
与我相关
我的任务
分享W32.Blaster.Worm (http://securityresponse1.symantec.com/sarc/sarc-cn.nsf/html/cn-w32.blaster.worm.html)
W32.Blaster.Worm 通过 TCP 端口 135 利用 DCOM RPC 漏洞 ( 更多有关此漏洞的信息请参见 Microsoft Security Bulletin MS03-026)。该蠕虫的目标仅为 Windows 2000 和 Windows XP 计算机。但如果 Windows NT 和 Windows 2003 Server 计算机没有安装正确的修补程序,也容易受到利用上述漏洞的蠕虫的攻击,但是蠕虫并未编写为复制到这些系统的代码。此蠕虫试图下载 Msblast.exe 文件,并将其复制到 %WinDir%\System32 文件夹,然后执行该文件。此蠕虫不具有任何群发邮件功能。
建议用户通过防火墙禁止对 4444 端口的访问,如果下列端口上不是在运行所列应用程序,请也禁止对这些端口的访问。
TCP Port 135, "DCOM RPC"
UDP Port 69, "TFTP"
该蠕虫试图对 Windows Update“拒绝服务”(Dos)攻击。攻击的目的是阻止你使用针对 DCOM RPC 漏洞的修补程序。
更多关于此漏洞的信息,以及哪个赛门铁克产品能纾解此漏洞造成的风险,请单击这里。
注意: 这个威胁可被以下病毒定义文件侦测:
定义版本:50811s
顺序编号:24254
扩展版本:8/11/2003, rev. 19
赛门铁克安全响应已开发出可清除 W32.Blaster.Worm 感染的杀毒工具。
W32.Blaster.Worm Webcast
下列 Webcast 已经公布,其中讨论了缓解和补救策略,并提供了 DoS 攻击的详细描述:
http://enterprisesecurity.symantec.com/content/webcastinfo.cfm?webcastid=63
也称为: W32/Lovsan.worm.a [McAfee], Win32.Poza.A [CA], Lovsan [F-Secure], WORM_MSBLAST.A [Trend], W32/Blaster-A [Sophos], W32/Blaster [Panda], Worm.Win32.Lovesan [KAV]
类型: Worm
感染长度: 6,176 bytes
受影响的系统: Windows 2000, Windows XP
未受影响的系统: Linux, Macintosh, OS/2, UNIX, Windows 95, Windows 98, Windows Me
CVE 参考: CAN-2003-0352
有效载荷:
造成系统不稳定: 可能导致系统崩溃。
危及安全设置: 开启一个远端控制的命令解释程序。
分发
端口: TCP 135, TCP 4444, UDP 69
感染目标: 运行 DCOM RPC 服务的计算机。
如果执行 W32.Blaster.Worm,它会进行以下动作:
建立一个名为 BILLY 的互斥体(Mutex)。如果这个互斥体已经存在,蠕虫会退出。
新增下列值:
"windows auto update"="msblast.exe"
加入注册键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
因此,当您启动 Windows 时,蠕虫都会执行。
计算出一个 IP 地址然后试图感染拥有此地址的计算机。IP 地址的算法如下:
40% 情况下,算出的 IP 地址格式为 A.B.C.0,其中 A 和 B 与被感染计算机的 IP 地址的前两部分相同。
C 是根据被感染计算机 IP 地址的第三部分算出的,但 40% 情况下,算出的 IP 地址格式为 如果 C 大于 20,一个小于 20 的随机值会从 C 减除。计算出 IP 地址后,蠕虫将试图找到具有该 IP 地址 A.B.C.0 的计算机,并利用其中的漏洞。
然后蠕虫将以 1 的步长递增 IP 地址的 0 部分,试图根据新的 IP 地址找到并利用其他计算机,直至达到 254。
生成的 IP 地址有 60% 的可能是完全随机的。
在 TCP 端口 135 上发送可能利用 DCOM RPC 漏洞的数据。蠕虫发送以下两种类型的数据之一:一种是利用 Windows XP 的数据,一种是利用 Windows 2000 的数据。在 80% 的情况下,发送的是 Windows XP 数据,在 20% 的情况下,发送的是 Windows 2000 数据。
注意:
本地子网将充斥着端口 135 请求。
由于蠕虫构造漏洞数据的方式具有随机性,因此如果它发送了不正确的数据,可能导致计算机崩溃。
尽管 W32.Blaster.Worm 不会传播到 Windows NT 或 Windows 2003 Server,但如果运行这些操作系统的计算机没有安装补丁程序,则蠕虫利用它们就可能导致它们崩溃。然而,如果手动将蠕虫放置到运行这些操作系统的计算机上并执行它们,蠕虫也可以运行并传播。
如果 RPC 服务崩溃,Windows XP 和 Windows Server 2003 下的默认过程是重新启动计算机。要禁用此功能,请参阅下面相应的杀毒指导中的步骤。
使用 Cmd.exe 创建隐藏的远程 shell 进程,该进程将侦听 TCP 端口 4444,从而允许攻击者在受感染系统上发出远程命令。
侦听 UDP 端口 69。当蠕虫收到来自它能够利用 DCOM RPC 漏洞进行连接的计算机的请求时,会向该计算机发送 msblast.exe,并指示该计算机执行蠕虫。
如果当前日期是一月份到八月份的 16 日到月底之间,或者当前月份是九月到十二月,蠕虫将试图对 Windows Update 执行 DoS 攻击。然而,只有在满足下列条件之一的情况下,执行 DoS 攻击的企图才会成功:
蠕虫运行所在的 Windows XP 计算机在有效载荷期间被感染或重新启动。
蠕虫运行所在的 Windows 2000 计算机在有效载荷期间被感染,并且自从感染后没有重新启动。
蠕虫运行所在的 Windows 2000 计算机在有效载荷期间被感染,受到感染后已重新启动,并且当前登录的用户是 Administrator。
DoS 通信具有以下特征:
是在端口 80 上对 windowsupdate.com 的 SYN 泛滥攻击。
每秒钟试图发送 50 个 RPC 包和 50 个 HTTP 包。
每个包的长度为 40 个字节。
如果在 DNS 里找不到 windowsupdate.com 项,蠕虫会使用 255.255.255.255 作为目标地址。
TCP 和 IP 头的部分固定特征如下:
IP 标识 = 256
生存时间 = 128
源 IP 地址 = a.b.x.y,其中 a.b 来自主机 ip,x.y 是随机值。在某些情况下,a.b 也是随机值。
目标 IP 地址 = windowsupdate.com 的 dns 解析
TCP 源端口介于 1000 和 1999 之间
TCP 目标端口 = 80
TCP 序列号的两个低位始终设置为 0,两个高位是随机值。
TCP 窗口大小 = 16384
蠕虫含有如下文字,但永远不会显示出来:
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ?Stop making money and fix your software!!
缓解 DoS 有效载荷
自 2003 年 8 月 15 日起,Microsoft 已经删除了 windowsupdate.com 的 DNS 记录。但尽管蠕虫的 DoS 部分不会影响 Microsoft 的 Windows Update 功能,网络管理员还是可以采取下列建议以缓解 DoS 有效载荷:
将 windowsupdate.com 重新路由到特殊的内部 IP 地址:如果有服务器侦听并捕获到 SYN 泛滥攻击,这将警告您计算机受到感染。
在路由器上配置防欺骗规则(如果尚未实施此过程):这将防止匹配率较高的数据包离开网络。使用 uRPF 或 egress ACL 将有效。
Symantec Client Security
2003 年 8 月 15 日,Symantec 通过 LiveUpdate 发布了 IDS 特征以检测 W32.Blaster.Worm 活动。
Symantec Gateway Security
2003 年 8 月 12 日,Symantec 发布了 Symantec Gateway Security 1.0 的更新。
Symantec 的应用程序完全检查防火墙技术可以有效防御这个 Microsoft 安全漏洞,在默认情况下禁止所有上述端口。为获得最高的安全性,第三代应用程序完全检查技术有效禁止了利用 HTTP 信道的 DCOM 通讯通道(tunneling of DCOM traffic over HTTP channels),提供了其它最常见的网络过滤防火墙尚未提供的额外一层防护。
Symantec Host IDS
2003 年 8 月 12 日,Symantec 发布了 Symantec Host IDS 4.1 的更新。
Intruder Alert
2003 年 8 月 12 日,Symantec 发布了 Intruder Alert 3.6 W32_Blaster_Worm Policy。
Symantec Enterprise Firewall
Symantec 完整的应用程序检查防火墙技术可抵御 W32.Blaster.worm,默认情况下会禁止上面列出的所有 TCP 端口。
Symantec ManHunt
Symantec ManHunt 协议异常检测技术将与利用此漏洞相关联的活动检测为“端口扫描”。尽管 ManHunt 可以使用协议异常检测技术检测与利用此漏洞相关联的活动,但您也可以使用在 Security Update 4 中发布的“Microsoft DCOM RPC Buffer Overflow”自定义特征来精确地识别所发送的漏洞利用数据。
Security Update 5 发布了特别针对 W32.Blaster.Worm 的签名以侦测 W32.Blaster.Worm 的更多特征。
Symantec ManHunt 协议异常检测技术可以检测到与 DoS SYN 泛滥攻击相关联的活动。安全响应中心已经为 ManHunt 3.0 创建了自定义的特征,并发布在 Security Update 6 中,用于将此攻击专门检测为 Blaster DDoS 请求。
Enterprise Security Manager
Symantec 安全响应中心于 2003 年 7 月 17 日发布了针对此漏洞的响应策略。
赛门铁克安全响应中心主张所有用户和管理员都坚持以下良好的基本安全习惯。
关闭或删除不需要的服务。默认情况下,许多操作系统会安装不危险的辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击提供了方便之门。如果删除它们,就减少了混合型威胁用于攻击的途径,并且在补丁程序更新时也减少了要维护的服务。
如果混合型威胁利用了一个或多个网络服务,请在应用补丁程序之前禁用或禁止访问这些服务。
实施应用最新的补丁程序,特别是在运行公共服务并可通过防火墙进行访问的计算机上,如 HTTP、FTP、邮件和 DNS 服务。
强制执行密码策略。使用复杂的密码,即使在受到威胁的计算机上也难以破解密码文件。这有助于在计算机的安全受到威胁时防止或限制更大的破坏。
将您的邮件服务器配置为禁止或删除包含常用于传播病毒的附件(如 .vbs、.bat、.exe、.pif 和 .scr)的电子邮件。
迅速隔离受感染的计算机以防止您的组织受到更多的威胁。执行攻击型分析并使用可靠的媒体恢复计算机。
教育员工不要打开来路不明的附件。也不要执行从 Internet 下载后未经病毒扫描的软件。如果某些浏览器漏洞未被修补,访问受到安全威胁的网站也会造成感染。
建议用户通过防火墙禁止对 4444 端口的访问,如果下列端口上不是在运行所列应用程序,请也禁止对这些端口的访问。
TCP Port 135, "DCOM RPC"
UDP Port 69, "TFTP"
该蠕虫试图对 Windows Update“拒绝服务”(Dos)攻击。攻击的目的是阻止你使用针对 DCOM RPC 漏洞的修补程序。
更多关于此漏洞的信息,以及哪个赛门铁克产品能纾解此漏洞造成的风险,请单击这里。
注意: 这个威胁可被以下病毒定义文件侦测:
定义版本:50811s
顺序编号:24254
扩展版本:8/11/2003, rev. 19
赛门铁克安全响应已开发出可清除 W32.Blaster.Worm 感染的杀毒工具。
W32.Blaster.Worm Webcast
下列 Webcast 已经公布,其中讨论了缓解和补救策略,并提供了 DoS 攻击的详细描述:
http://enterprisesecurity.symantec.com/content/webcastinfo.cfm?webcastid=63
也称为: W32/Lovsan.worm.a [McAfee], Win32.Poza.A [CA], Lovsan [F-Secure], WORM_MSBLAST.A [Trend], W32/Blaster-A [Sophos], W32/Blaster [Panda], Worm.Win32.Lovesan [KAV]
类型: Worm
感染长度: 6,176 bytes
受影响的系统: Windows 2000, Windows XP
未受影响的系统: Linux, Macintosh, OS/2, UNIX, Windows 95, Windows 98, Windows Me
CVE 参考: CAN-2003-0352
有效载荷:
造成系统不稳定: 可能导致系统崩溃。
危及安全设置: 开启一个远端控制的命令解释程序。
分发
端口: TCP 135, TCP 4444, UDP 69
感染目标: 运行 DCOM RPC 服务的计算机。
如果执行 W32.Blaster.Worm,它会进行以下动作:
建立一个名为 BILLY 的互斥体(Mutex)。如果这个互斥体已经存在,蠕虫会退出。
新增下列值:
"windows auto update"="msblast.exe"
加入注册键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
因此,当您启动 Windows 时,蠕虫都会执行。
计算出一个 IP 地址然后试图感染拥有此地址的计算机。IP 地址的算法如下:
40% 情况下,算出的 IP 地址格式为 A.B.C.0,其中 A 和 B 与被感染计算机的 IP 地址的前两部分相同。
C 是根据被感染计算机 IP 地址的第三部分算出的,但 40% 情况下,算出的 IP 地址格式为 如果 C 大于 20,一个小于 20 的随机值会从 C 减除。计算出 IP 地址后,蠕虫将试图找到具有该 IP 地址 A.B.C.0 的计算机,并利用其中的漏洞。
然后蠕虫将以 1 的步长递增 IP 地址的 0 部分,试图根据新的 IP 地址找到并利用其他计算机,直至达到 254。
生成的 IP 地址有 60% 的可能是完全随机的。
在 TCP 端口 135 上发送可能利用 DCOM RPC 漏洞的数据。蠕虫发送以下两种类型的数据之一:一种是利用 Windows XP 的数据,一种是利用 Windows 2000 的数据。在 80% 的情况下,发送的是 Windows XP 数据,在 20% 的情况下,发送的是 Windows 2000 数据。
注意:
本地子网将充斥着端口 135 请求。
由于蠕虫构造漏洞数据的方式具有随机性,因此如果它发送了不正确的数据,可能导致计算机崩溃。
尽管 W32.Blaster.Worm 不会传播到 Windows NT 或 Windows 2003 Server,但如果运行这些操作系统的计算机没有安装补丁程序,则蠕虫利用它们就可能导致它们崩溃。然而,如果手动将蠕虫放置到运行这些操作系统的计算机上并执行它们,蠕虫也可以运行并传播。
如果 RPC 服务崩溃,Windows XP 和 Windows Server 2003 下的默认过程是重新启动计算机。要禁用此功能,请参阅下面相应的杀毒指导中的步骤。
使用 Cmd.exe 创建隐藏的远程 shell 进程,该进程将侦听 TCP 端口 4444,从而允许攻击者在受感染系统上发出远程命令。
侦听 UDP 端口 69。当蠕虫收到来自它能够利用 DCOM RPC 漏洞进行连接的计算机的请求时,会向该计算机发送 msblast.exe,并指示该计算机执行蠕虫。
如果当前日期是一月份到八月份的 16 日到月底之间,或者当前月份是九月到十二月,蠕虫将试图对 Windows Update 执行 DoS 攻击。然而,只有在满足下列条件之一的情况下,执行 DoS 攻击的企图才会成功:
蠕虫运行所在的 Windows XP 计算机在有效载荷期间被感染或重新启动。
蠕虫运行所在的 Windows 2000 计算机在有效载荷期间被感染,并且自从感染后没有重新启动。
蠕虫运行所在的 Windows 2000 计算机在有效载荷期间被感染,受到感染后已重新启动,并且当前登录的用户是 Administrator。
DoS 通信具有以下特征:
是在端口 80 上对 windowsupdate.com 的 SYN 泛滥攻击。
每秒钟试图发送 50 个 RPC 包和 50 个 HTTP 包。
每个包的长度为 40 个字节。
如果在 DNS 里找不到 windowsupdate.com 项,蠕虫会使用 255.255.255.255 作为目标地址。
TCP 和 IP 头的部分固定特征如下:
IP 标识 = 256
生存时间 = 128
源 IP 地址 = a.b.x.y,其中 a.b 来自主机 ip,x.y 是随机值。在某些情况下,a.b 也是随机值。
目标 IP 地址 = windowsupdate.com 的 dns 解析
TCP 源端口介于 1000 和 1999 之间
TCP 目标端口 = 80
TCP 序列号的两个低位始终设置为 0,两个高位是随机值。
TCP 窗口大小 = 16384
蠕虫含有如下文字,但永远不会显示出来:
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ?Stop making money and fix your software!!
缓解 DoS 有效载荷
自 2003 年 8 月 15 日起,Microsoft 已经删除了 windowsupdate.com 的 DNS 记录。但尽管蠕虫的 DoS 部分不会影响 Microsoft 的 Windows Update 功能,网络管理员还是可以采取下列建议以缓解 DoS 有效载荷:
将 windowsupdate.com 重新路由到特殊的内部 IP 地址:如果有服务器侦听并捕获到 SYN 泛滥攻击,这将警告您计算机受到感染。
在路由器上配置防欺骗规则(如果尚未实施此过程):这将防止匹配率较高的数据包离开网络。使用 uRPF 或 egress ACL 将有效。
Symantec Client Security
2003 年 8 月 15 日,Symantec 通过 LiveUpdate 发布了 IDS 特征以检测 W32.Blaster.Worm 活动。
Symantec Gateway Security
2003 年 8 月 12 日,Symantec 发布了 Symantec Gateway Security 1.0 的更新。
Symantec 的应用程序完全检查防火墙技术可以有效防御这个 Microsoft 安全漏洞,在默认情况下禁止所有上述端口。为获得最高的安全性,第三代应用程序完全检查技术有效禁止了利用 HTTP 信道的 DCOM 通讯通道(tunneling of DCOM traffic over HTTP channels),提供了其它最常见的网络过滤防火墙尚未提供的额外一层防护。
Symantec Host IDS
2003 年 8 月 12 日,Symantec 发布了 Symantec Host IDS 4.1 的更新。
Intruder Alert
2003 年 8 月 12 日,Symantec 发布了 Intruder Alert 3.6 W32_Blaster_Worm Policy。
Symantec Enterprise Firewall
Symantec 完整的应用程序检查防火墙技术可抵御 W32.Blaster.worm,默认情况下会禁止上面列出的所有 TCP 端口。
Symantec ManHunt
Symantec ManHunt 协议异常检测技术将与利用此漏洞相关联的活动检测为“端口扫描”。尽管 ManHunt 可以使用协议异常检测技术检测与利用此漏洞相关联的活动,但您也可以使用在 Security Update 4 中发布的“Microsoft DCOM RPC Buffer Overflow”自定义特征来精确地识别所发送的漏洞利用数据。
Security Update 5 发布了特别针对 W32.Blaster.Worm 的签名以侦测 W32.Blaster.Worm 的更多特征。
Symantec ManHunt 协议异常检测技术可以检测到与 DoS SYN 泛滥攻击相关联的活动。安全响应中心已经为 ManHunt 3.0 创建了自定义的特征,并发布在 Security Update 6 中,用于将此攻击专门检测为 Blaster DDoS 请求。
Enterprise Security Manager
Symantec 安全响应中心于 2003 年 7 月 17 日发布了针对此漏洞的响应策略。
赛门铁克安全响应中心主张所有用户和管理员都坚持以下良好的基本安全习惯。
关闭或删除不需要的服务。默认情况下,许多操作系统会安装不危险的辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击提供了方便之门。如果删除它们,就减少了混合型威胁用于攻击的途径,并且在补丁程序更新时也减少了要维护的服务。
如果混合型威胁利用了一个或多个网络服务,请在应用补丁程序之前禁用或禁止访问这些服务。
实施应用最新的补丁程序,特别是在运行公共服务并可通过防火墙进行访问的计算机上,如 HTTP、FTP、邮件和 DNS 服务。
强制执行密码策略。使用复杂的密码,即使在受到威胁的计算机上也难以破解密码文件。这有助于在计算机的安全受到威胁时防止或限制更大的破坏。
将您的邮件服务器配置为禁止或删除包含常用于传播病毒的附件(如 .vbs、.bat、.exe、.pif 和 .scr)的电子邮件。
迅速隔离受感染的计算机以防止您的组织受到更多的威胁。执行攻击型分析并使用可靠的媒体恢复计算机。
教育员工不要打开来路不明的附件。也不要执行从 Internet 下载后未经病毒扫描的软件。如果某些浏览器漏洞未被修补,访问受到安全威胁的网站也会造成感染。
...全文
请发表友善的回复…
发表回复
bosshoss 2003-08-23
- 打赏
- 举报
使用 W32.Blaster.Worm 移除工具来移除蠕虫
赛门铁克安全响应已开发出可清除 W32.Blaster.Worm 感染的杀毒工具。这是消除此威胁最简便的方法,应首先尝试此方法。
手动杀毒
除了使用杀毒工具,还可以手动消除此威胁。以下指导适用于所有当前和最新的 Symantec 防病毒产品,包括 Symantec AntiVirus 和 Norton AntiVirus 系列产品。
还原 Internet 连接。
终止蠕虫进程。
获得最新的病毒定义。
扫描和删除受感染文件。
撤消对注册表所做的更改。
获得 Microsoft 热修复工具以修复 DCOM RPC 漏洞。
有关详细信息,请参阅下列指导:
1. 还原 Internet 连接
在很多情况下,不管是在 Windows 2000 还是在 XP 上,更改 Remote Call Procedure (RPC) 服务的设置可能允许您连接到 Internet,而不会关闭计算机。要还原 PC 的 Internet 连接,请执行下列操作:
单击“开始”>“运行”。出现“运行”对话框。
键入:
SERVICES.MSC /S
然后单击“确定”。“服务”窗口出现。
在右窗格中,找到 Remote Procedure Call (RPC) 服务。
--------------------------------------------------------------------------------
警告:还有一个名为 Remote Procedure Call (RPC) Locator 的服务。请不要混淆这两个服务。
--------------------------------------------------------------------------------
用鼠标右键单击 Remote Procedure Call (RPC) 服务,然后单击“属性”。
单击“故障恢复”选项卡。
使用下拉列表,将“第一次失败”、“第二次失败”和“后续失败”更改为“重新启动服务”。
单击“应用”,然后单击“确定”。
--------------------------------------------------------------------------------
警告:杀除蠕虫后,请务必将这些设置更改回原来的值。
--------------------------------------------------------------------------------
2. 结束蠕虫程序
按一次 Ctrl+Alt+Delete。
单击“任务管理器”。
单击“处理程序”卷标。
连按两下“影像名称”字段标头以便以英文字母顺序进行排序。
浏览一下清单并寻找 msblast.exe。
如果您找到该档案,单击它并单击“结束处理程序”。
结束“任务管理器”。
3. 更新病毒定义文件
Symantec 安全响应中心在我们的服务器上发布任何病毒定义之前,会对其进行全面测试以保证质量。可以通过两种方式获得最新的病毒定义:
对于较新的计算机用户
运行 LiveUpdate,这是获得病毒定义最简便的方法:针对 W32.Blaster.worm 的病毒定义在 2003 年 8 月 11 日之后即可通过 LiveUpdate 服务器获得。要获得最新的病毒定义,请在您的 Symantec 产品的主用户界面中单击 LiveUpdate 按钮。运行 LiveUpdate 时,请确保只选中“Norton AntiVirus 病毒定义”。可以在稍后获得产品更新。
对于系统管理员和高级用户
使用智能更新程序下载定义:“智能更新程序”病毒定义在美国工作日发布(周一至周五)。您应当从 Symantec 安全响应中心网站下载定义并手动安装它们。要确定是否可通过智能更新程序获得用于该威胁的定义,请参考病毒定义(智能更新程序)。
有关获得“智能更新程序”病毒定义的详细指导,请阅读文档:如何使用智能更新程序更新病毒定义文件。。
4. 扫描并删除受感染的档案
启动您的赛门铁克防毒程序,确定已架构为扫描所有档案。
Norton AntiVirus 单机版产品:请阅读文档:如何配置 Norton AntiVirus 以扫描所有文件。
赛门铁克企业版防病毒产品:请阅读 如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件。
执行完整系统扫描。
如果侦测到任何受 W32.Blaster.Worm 感染的档案,请单击“删除”。
5. 恢复对注册键所做的变更
--------------------------------------------------------------------------------
警告:对系统注册表进行任何修改之前,赛门铁克强烈建议您最好先替注册表进行一次备份。对注册表的修改如果有任何差错,严重时将会导致数据遗失或档案受损。只修改指定的键。如需详细指示,请阅读“如何备份 Windows 注册表”文件。
--------------------------------------------------------------------------------
单击“开始”,然后单击“执行”。(将出现“运行”对话框。)
键入 regedit,然后单击“确定”。(将打开注册表编辑器。)
跳到这个键:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
删除右边窗格中的值:
windows auto update
结束并离开注册表编辑器。
6. 获得 Microsoft 热修复工具以修复 DCOM RPC 漏洞
W32.Blaster.Worm 是一种通过 TCP 端口 135,利用 DCOM RPC 漏洞感染 PC 的蠕虫。W32.Blaster.Worm 还会试图使用您的 PC 对 Microsoft Windows Update Web 服务器 (windowsupdate.com) 执行 DoS 攻击。要修复此漏洞,请从 Microsoft Security Bulletin MS03-026 获得 Microsoft 热修复工具,这点很重要。
修订记录:
2003 年 8 月 20 日:
添加了对 Symantec Client Security 的引用。
2003 年 8 月 15 日:
添加了有关缓解 DoS 攻击的额外建议。
添加了有关 Symantec NetRecon 和 Symantec 风险评估服务的更新的引用。
添加了 Symantec Webcast 链接。
添加了有关 Symantec ManHunt 更新的其他信息。
2003 年 8 月 14 日:
更新了 DoS 有效载荷信息。
添加了有关 DoS 通信的信息。
2003 年 8 月 13 日:
重新调整了杀毒指导中主要步骤的顺序。
添加了下载位置。
进行了细小的格式更新。
删除了杀毒指导中有关 Windows 系统还原的指导
2003 年 8 月 12:
由于提交次数增加,从 4 类威胁升级为 3 类威胁。
添加了其他别名。
更新了“技术描述”部分。
在杀毒指导中添加了有关更改 RPC 设置的信息。
关于golang依赖问题: Get “https://proxy.golang.org/chainmaker.org/chainmaker/common/v2/@v/v2.2.0.mod“: dial