红色警报：病毒肆虐，你的Windows重启没有？

　　从本日破晓开始，很多用户的体系就不断的从头启动。此刻已经查明是两种蠕虫病毒操作RPC处事的裂痕对收集中的计较机举办进攻。该两种病毒名为“爆破工（Worm.Blaster）”和“异形(Worm.Rpc.Zerg)”，微软已经放出了该裂痕的补丁，请各人赶紧去下载。

爆发时弹出强行重启窗口

　　以下是该病毒的一些资料：

　　裂痕征象：Windows体系不不变呈现SCVHOST错误，开机后无法举办复制、粘贴等操纵，无法打开OUTLOOK或IE等措施，呆板在1~2分内呈现RPC错误从头启动。

　　威胁水平：Microsoft RPC为长途打点员权限，MS WINDOWS 2000 RPC为长途拒绝处事
　　错误范例：Microsoft RPC为计划错误，MS WINDOWS 2000 RPC为输入验证错误
　　操作方法：Microsoft RPC为处事器模式、MS WINDOWS 2000 RPC为客户机模

　　Microsoft RPC CVE(CAN) ID：CAN-2003-0352

　　受影响体系

　　Microsoft Windows NT 4.0
　　Microsoft Windows NT 4.0 Terminal Services Edition
　　Microsoft Windows 2000
　　Microsoft Windows XP
　　Microsoft Windows Server 2003
　　必要声名的是已经装有SP4的体系也必要安装补丁

　　具体描写

　　Microsoft RPC ：Remote Procedure Call (RPC)挪用是WINDOWS行使的一个协议，提供历程间交互通讯，应承措施在长途呆板上运行恣意措施。

　　RPC在处理赏罚通过TCP/IP举办信息互换进程中存在裂痕，题目因为不正确处理赏罚畸形动静造成。首要此裂痕影响行使RPC的DCOM接口，监听RPC使能的接口，这个接口处理赏罚DCOM工具激活哀求。进攻者假如乐成操作此裂痕，可以以体系用户权限执行恣意代码。

　　要操作这个裂痕，可以发送畸形哀求给长途处事器监听的特定RPC端口。如135、139、445等任何设置了RPC端口的呆板。

　　MS WINDOWS 2000 RPC ：WINDOWS的RPC处事（RPCSS）存在裂痕，当发送一个畸形包的时辰，会导致RPC处事无提醒的瓦解掉。因为RPC处事是一个非凡的体系处事，很多应用和处事措施都依靠于他，由于可以造成这些措施与处事的拒绝处事。同时可以通过挟制epmapper管道和135端口的要领来晋升权限和获取敏感信息。

　　技能说明

　　题目首要产生在RPC处事为DCOM处事提供__RemoteGetClassObject接口上，当传送一个特定包导致理会一个布局的指针参数为NULL的时辰， __RemotoGetClassObject 未对此布局指针参数有有用性搜查，在后续中就直接引用了此地点（此时为0）做读写操纵，这样就导致了内存会见违例，RPC处事历程瓦解。

　　危害

　　进攻之后，很多基于RPC的应用无法行使，如行使收集与拨号毗连拨号，设置当地毗连等，一些基于RPC，DCOM的处事与应用将无法正常运行。 因为RPC处事是MS WINDOWS中一个重要的处事，他开放的135端口同时用于DCOM的认证，epmapper管道用于RPC端点的影射，并默以为体系信赖，假如一个进攻者可以或许以低权限在被进攻呆板上运行一个措施，在RPC处事瓦解往后，就可以通过挟制epmapper管道和135端口的要领来晋升权限或得到DCOM客户端认证的信息。

　　办理方案

　　较量有用的防御要领是：封锁撒播端口、安装新补丁。

　　收集节制要领：

　　假如您不必要应用这些端口来举办处事，为了防御这种蠕虫，你应该在防火墙上阻塞TCP port 4444和下面的端口：

　　TCP 4444      蠕虫开设的后门端口，用于长途节制
　　UDP Port 69   用于文件下载
　　TCP Port 135  微软：DCOM RPC

　　补丁下载：

　　Windows NT 4.0 Server ：

　　http://microsoft.com/downloads/details.aspx?FamilyId=2CC66F4E-217E-4FA7-BDBF-DF77A0B9303F&displaylang=en

　　Windows NT 4.0 Terminal Server Edition：

　　http://microsoft.com/downloads/details.aspx?FamilyId=6C0F0160-64FA-424C-A3C1-C9FAD2DC65CA&displaylang=en

　　Windows 2000：

　　http://microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F-220354449117&displaylang=en

　　Windows XP 32 bit Edition ：

　　http://microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=en

　　Windows XP 64 bit Edition：

　　http://microsoft.com/downloads/details.aspx?FamilyId=1B00F5DF-4A85-488F-80E3-C347ADCC4DF1&displaylang=en

　　Windows Server 2003 32 bit Edition：

　　http://microsoft.com/downloads/details.aspx?FamilyId=F8E0FF3A-9F4C-4061-9009-3A212458E92E&displaylang=en

　　Windows Server 2003 64 bit Edition：

　　http://microsoft.com/downloads/details.aspx?FamilyId=2B566973-C3F0-4EC1-995F-017E35692BC7&displaylang=en

　　Windows2000 中文版

　　http://www.microsoft.com/downloads/details.aspx?FamilyID=c8b8a846-f541-4c15-8c9f-220354449117&DisplayLang=zh-cn

　　Windows XP 中文版

　　http://microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=2354406C-C5B6-44AC-9532-3DE40F69C074

　　Windows 2003 中文版

　　http://microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=F8E0FF3A-9F4C-4061-9009-3A212458E92E

　　相干信息请参考：http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp

假如进级了补丁你照旧办理不了题目，只有效终极修改法了：杀毒：拒绝蠕虫，手把手教你封锁135端口

(pcpop)

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!