|
|
| |
|
|
网络蠕虫I-Worm/Blaster(冲击波)重新启动机器的处理方式
|
|
www.jiangmin.com.cn
2003-10-28 14:36:28 作者: 信息出自:江民科技
|
|
| |
|
(1) 现象:被I-Worm/Blaster(冲击波)感染的机器出现频繁重新启动;机器的操作系统是:Windows 2000,Windows XP;等
(2) 出现问题的根源:被感染中招的机器存在DCOM 的RPC漏洞;http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp 微软HOTFIX代码:823980 .
(3) 现象分析:由于中病毒后,该病毒破坏RPC系统服务,使得当系统重新启动后该服务程序不能正常启动,而微软默认设置是不成功启动服务的话,机器就将重新启动。因此被感染的机器会不断重新启动;
(4) 解决:(a)在受害机器上选择F5,选择启动菜单中的“返回到最近一次正确设置”。
(b)修改RPC服务启动属性Remote Procedure Call 设置。
Windows XP下服务的启动方法:Services.msc (策略修改器).
选择服务Remote Procedure Call (RPC),右键属性®,出现:
修改第一次失败、第二次失败、后续失败的处置方式:
在这四种选择中只要不选择“重新启动计算机”即可。
(c)如果经过以上操作机器仍然重新启动,可能您需要检查您的机器的XP操作系统的序列号号是否正版。微软对Windows XP操作系统进行了严格的检查。
(d) Windows 2000 操作系统的操作步骤基本相同。
(e)开启Windows XP的防火墙可以防止该病毒通过(TCP)4444端口、(TCP)135端口以及(UDP)69端口进入机器;
(f)设置江民黑客防火墙可以拦截来自以上端口的攻击。
(g)处理该病毒在安装了系统补丁、安装最新的江民杀毒软件KV2004后可以一次全部清除该病毒的感染。
|
|
| |
|
|
|
|
|
|
|
|
|
|
|
|
|
| |
|
|
|
