「疾風病毒」“WORM_MSBLASR.A”病毒訊息 此病毒透過Windows作業系統的漏洞，正攻擊全球各地電腦用戶，受感染之平台自Windows 2000 ~ XP均有。解毒基本執行步驟如下： 步驟一 1. 先將所有中毒的機器先將網路線拔掉，先不要連上網路。 2. 在Windows NT/2000/XP 環境：按下 CTRL ALT DEL 呼叫出「工作管理員」，找到名為 msblast.exe 處理程序，並將其結束。 3. 使用「登錄編輯程式」（在「開始」/「執行」中輸入 "regedit" 啟動）開啟並刪除以下機碼： 機碼路徑： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 機碼名稱: "windows auto update" 資料："msblast.exe" 4. 在 %System% 目錄中找到並刪除名為 msblast.exe 的檔案。 步驟二 1.將最新的病毒碼（截至8月13日為lpt$vpn.606）及sysclean、tsc放在同一資料夾 2.先後執行tsc及sysclean.com開始掃毒 3.執行sysclean會出現一個掃毒的畫面，請選擇"SCAN"讓其進行清毒 4.最後再用防毒軟體搭最新病毒碼掃過一次，是否還會發現病毒 詳見： http://www.trendmicro.com/vinfo/zh-tw/virusencyclo/default5.asp?VName=WORM_MSBLAST.A 賽門鐵克 執行W32.Blaster.Worm的修正工具FixBlast.exe進行修復 詳見： http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html 步驟三 不論使用何種方式解毒，如果作業平台為Windows 2000/XP，均建議安裝MS03-026修正程式，以阻絕漏洞。詳見： http://www.microsoft.com/taiwan/security/security_bulletins/ms03-026.asp

------
～～～Delphi K.Top討論區站長～～～

資料來源:台灣微軟 針對W32.Blaster.Worm的病毒，已提供安全性修正程式MS03-026於微軟網站上，請企業客戶儘快到http://www.microsoft.com/taiwan/security/security_bulletins/ms03-026.asp 下載並且安裝，以避免遭受攻擊。 該安全性修正程式MS03-026已於今年7月17日公佈於微軟公司網站上。若用戶已安裝該修正程式即可免受此次病毒的威脅，請尚未安裝的企業客戶儘快下載並且安裝，以避免遭受攻擊。 台灣微軟公司並於本週 (8/12~8/15) 提供全天候24小時電話支援服務，有需要的用戶可以直撥02-66359111洽詢。或者可於上班時間透過微軟客服專線02-66263366洽詢。更多相關的技術支援訊息請參考網站：http://www.microsoft.com/taiwan/support/。 病毒通知: W32.Blaster.Worm -------------------------------------------------------------------------------- 1. 病毒通知: W32.Blaster.Worm 2. 如何手動移除W32.Blaster.Worm Q01：病毒通知: W32.Blaster.Worm A： 影響產品： Windows XP, Windows 2000, Windows Server 2003, Windows NT 4.0, NT 4.0 Terminal Services Edition 說明： 微軟安全反應中心已經發佈W32.Blaster.Worm的病毒通知。此病毒名稱對於不同的防毒軟體有不同的名稱定義W32/Lovsan.worm (McAfee), WORM_MSBLAST.A (Trendmicro), Win32.Posa.Worm (Computer Associates)，您需要安裝微軟的安全性修正程式MS03-026以避免遭受病毒的攻擊。 造成的影響： 透過RPC Port來傳遞，遭受感染的機器會不斷的重新啟動，且在%systemroot%\System32 目錄底下您可以發現一個檔案名稱為msblast.exe 技術細節： 此病毒會掃描您網段中的電腦，並透過TCP Port 135傳送病毒本身，如果目的端電腦沒有安裝MS03-026，此病毒將會感染此電腦，並在登錄檔中建立以下登錄值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill 中毒現象： 1. Windows 會無預期的重新開機. 2. 在%systemroot%\System32 目錄底下您可以發現一個檔案名稱為msblast.exe 3. 在系統中存在TFTP*的檔案 解決方法： 遭受病毒感染的解決步驟： 如果您不是Windows XP的用戶： 1. 開始, 執行, 輸入 cmd, 確定 2. 請從Windows XP 的電腦拷貝shutdown.exe，執行 shutdown -a ,來停止關機程序 3. 按 CTRL SHIFT ESC 後, 在工作管理員裡, 選擇此惡意程式的處理程序, 然後按下"結束處理程序"的按鈕 4. 請更新防毒軟體的病毒碼(如果客戶的系統沒有安裝防毒軟體，請連線到此網址執行線上掃瞄http://housecall.antivirus.com)。 5. 下載修正程式 MS03-026 下載位址：http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp 6. 拔除網路線 7. 掃描您的系統確定沒有病毒存在(您可以下載您防毒軟體廠商所提供的清除工具來刪除病毒) 8. 安裝修正程式 9. 重新啟動電腦 10. 接上網路線 如果您是 Windows XP的用戶： 1. 開始, 執行, 輸入 cmd, 確定 2. 在 command prompt, 輸入 shutdown -a , 停止關機程序 3. 按 CTRL SHIFT ESC 後, 在工作管理員裡, 選擇此惡意程式的處理程序, 然後按下"結束處理程序"的按鈕 4. 請更新防毒軟體的病毒碼(如果客戶的系統沒有安裝防毒軟體，請連線到此網址執行線上掃瞄http://housecall.antivirus.com)。 5.下載修正程式 MS03-026 下載位址：http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp 6. 拔除網路線 7. 掃描您的系統確定沒有病毒存在(您可以下載您防毒軟體廠商所提供的清除工具來刪除病毒) 8. 安裝修正程式 9. 重新啟動電腦 10. 啟動 網際網路連線防火牆 (ICF). 參考文件: http://support.microsoft.com/?id=283673 手動啟動步驟如下: a. 開啟控制台\開啟網路連線 b. 針對您的網路卡按滑鼠右鍵選內容 c. 點選進階標籤，網際網路連線防火牆 (ICF)]， 請選取 [以限制或防止來自網際網路對這台電腦的存取來保護我的電腦] 核取方塊。 11. 接上網路線 尚未遭受病毒感染應採取的步驟： 為了確保您的系統不會遭受此病毒的攻擊，您需要安裝微軟的安全性修正程式MS03-026 下載位址：http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp 更多資訊： 您可以參考其他防毒軟體廠商所提供的相關資訊： Network Associates: http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=100547 Trend Micro: http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.A Symantec: http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html Computer Associates: http://www3.ca.com/virusinfo/virus.aspx?ID=36265 For more information on Microsoft’s Virus Information Alliance please visit this link: http://www.microsoft.com/technet/security/virus/via.asp 如欲了解更多此病毒的相關資訊，請直接洽詢您的防毒軟體廠商 Q02：如何手動移除W32.Blaster.Worm A: 1. 拔除網路線 2. 關閉惡性程式於記憶體中的處理程序. a. 開啟Windows工作管理員, 按CTRL SHIFT ESC, 點選處理程序標籤. b. 於正在執行的處理程序清單中, 找到下述執行檔:MSBLAST.EXE c. 選擇此惡意程式的處理程序, 然後按下"結束處理程序"的按鈕. d. 為了確認是否已經結束所有惡意程式的處理程序, 關閉工作管理員,然後再次開啟. e. 關閉工作管理員. 3. 移除登錄編輯程式中自動啟動的機碼 移除登錄編輯程式中自動啟動的機碼可防止惡意程式在開機的時候自動執行. a. 開啟登錄編輯程式.點選開始>執行, 輸入REGEDIT, 然後按Enter. b. 在左側視窗中, 滑鼠雙擊下述路徑: HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run c. 在右側視窗中,刪除此機碼: "windows auto update" = MSBLAST.EXE d. 關閉登錄編輯程式. 4. 移除病毒檔案 a. 開啟檔案總管 b. 在Windows\System32的目錄底下找到 Msblast.exe ，按滑鼠右鍵選刪除 5. 下載修正程式: http://www.microsoft.com/taiwan/security/bulletins/MS03-026.asp 6. 接上網路線

------
～～～Delphi K.Top討論區站長～～～