Windows系统弱口令的恶性蠕虫防范公告!
添加时间: 2005-5-21 3:35:53 作者: 网络资源 阅读次数:116 来源: http://d9soft.com
2003年3月8日下午,国内主干网上发现异常IP数据包且流量很大。经过CNCERT的详细跟踪与分析,确认该事件的产生原因为一种未知的新型恶性蠕虫,鉴于此蠕虫危害大、传播力强,若不及时加以控制,将会引发较大的损失,CNCERT 特发布此公告提醒广大用户及时采取相应措施,防止和减少该蠕虫所带来的影响,同时CNCERT将继续保持对此蠕虫的紧密跟踪,请及时关注网站新的安全公告。
病毒种类:恶性蠕虫
病毒威胁:安装远程控制后门,扩散过程可能造成网络堵塞。
病毒介绍:
该蠕虫属于黑客行为的蠕虫病毒,它通过扫描Win2k或者XP的445端口,然后进行共享会话猜测管理员系统口令。如果猜测到口令,则蠕虫建立管理会话,用psexec.exe程序通过共享上传蠕虫文件,在被感染的主机上,在注册表中Software\Microsoft\Windows\CurrentVersion\Run设置启动项,以便病毒能够在系统启动的时候加载运行。蠕虫会在主机上开启VNC后门,该后门开启5800和5900端口,能够进行远程控制。蠕虫开启扫描进程,对随机生成的IP地址进行扫描来传播感染其他主机。
建议用户用下面办法来检查是否被病毒感染:
查看系统进程是否存在Dvldr32.exe,以确认是否被病毒感染,如果您的系统被感染,那么可以结束该进程,并在正确的目录下删除相应的蠕虫文件和注册表键值,然后重新启动系统。
建议解决办法:
网管用户:
在路由器等设备上作相应端口的过滤,具体做法如下:
access-list 110 deny udp any any eq 1434(因SQL SLAMMER病毒又有增多的迹象)
access-list 110 deny tcp any any eq 445
access-list 110 deny tcp any any eq 5800
access-list 110 deny tcp any any eq 5900
access-list 110 deny 255 any any
access-list 110 deny 0 any any
access-list 110 permit ip any any
终端用户:
采取如下措施:
(1) 为Administrator设置一个强壮的密码。
(2) 中止名为dvldr32.exe的进程。
(3) 删除如下异常文件:
(4) 重新启动机器。
(5) 如无必须,建议关闭5800、5900端口。
上下文章:
上一篇文章: 近期病毒预报8.3-8.9 下一篇文章: 米虫病毒通过IE漏洞传播!
相关文章:
相关软件: