史萊姆論壇 - PC-CILLIN2004 網路病毒?

WORM_SQLP1434.A
別名: SQL警戒, W32/SQLSlammer, W32.SQLExp.Worm, Worm.SQL.Helkern, DDOS_SQLP1434.A, SQLP1434.A
此病毒針對Microsoft SQL Server 2000進行攻擊,並驅使受感染的SQL伺服器發送惡意程式的封包至其他的SQL伺服器,造成網路速度減慢甚至無法連結. 此病毒使用分散式組斷服務(DDOS)的攻擊方式,只常駐在記憶體中,...

RPC DCOM BUFFER OVERFLOW II並不是病毒.它是最近在Windows NT, 2000, XP, 和2003 Server上發現的弱點.

此弱點實際上是在RPCSS服務中的分散式元件物件模型(DCOM)協定內三個安全性瑕疵.此瑕疵允許執行任意的程式碼和阻斷式服務.一旦入侵成功, 此安全性瑕疵可使攻擊者在有弱點的電腦上執行任意程式碼或造成阻斷式服務(Dos)的狀況.

雖然此弱點與之前公佈的 RPC_DCOM_Buffer_Overflow弱點相關, 該弱點被利用後產生疾風病毒 , 而目前最新發現的這個弱點需要微軟所提供的另外一個補充程式.此補充程式取代之前所提供的MS03-026補充程式.

會受到影響的使用者, 包括之前已經安裝MS03-026補充程式的使用者, 強烈建議儘快從下列網頁更新新的補充程式:

Microsoft Security Bulletin MS03-039

若需要更多有關此弱點的資訊, 請參考微軟網站:

Microsoft安全性公告MS03-039

.
Microsoft安全性公告MS03-039須知(824146)
受影響的作業平台如下:

Microsoft Windows NT Workstation 4.0
Microsoft Windows NT Server 4.0
Microsoft Windows NT Server 4.0, Terminal Server Edition
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003

解決方案:

重要須知

為了完全保護系統避免安全上的威脅, 建議使用者更新重大的補充程式.不要忽略更新這些補充程式的重要性.並且應該強制實行更新.若清除系統前沒有先安裝微軟的補充程式,可能會導致系統馬上再被感染或是系統不穩定.

安裝補充程式

至下列網站安裝微軟所提供的補充程式,建議企業用戶可多利用SMS或SUS統一部署補充程式至企業內部所有電腦.

MS03-039
RPC DCOM Buffer Overflow掃描工具

微軟釋出一個新的工具可幫助網路管理者找出網路上未安裝MS03-039補充程式具有弱點的系統.

此工具可在微軟網站上下載:

How to Use the KB 824146 Scanning Tool

請注意, 微軟將這個新的掃描工具(824146)取代先前的工具(823980).

過濾網路封包

趨勢科技也建議過濾內送連結至連接埠135, 139, 445和593的UDP/TCP封包.除了信任的主機外, 限制所有到這些連接埠的連結.

關閉DCOM

若使用者並沒有使用Windows分散式元件物件模型(DCOM)的需要, 建議依照下面步驟關閉DCOM:

Windows 2000和NT

點選開始->執行.
於空白欄位中輸入“dcomcnfg”, 然後按”Enter”.
在DCOM設定內容視窗中點選”預設內容”標籤.
將“在這台電腦上啟用DCOM ”核取方塊的勾選取消.
點選OK.

Windows 2003

點選開始->執行.
於空白欄位中輸入“dcomcnfg”,然後按Enter.
展開左邊視窗中的”元件服務”.
展開”元件服務“下的”電腦”.
在”我的電腦”上按右鍵.
點選”內容”開啟”我的電腦內容”視窗
點選“預設內容”標籤.
將“在這台電腦上啟用DCOM ”核取方塊的勾選取消.
點選OK.