<b><font color="#FF0000">问题:winXP不断报“RPC意外中止,系统重新启动”,win2000报svchost.exe出错</font></b>
<blockquote>
<p><b>该问题是目前出现的win32.blaster.worm病毒针对微软的RPC漏洞进行攻击,在8月11日全球首次发现,symantec已更新病毒库可以查杀该病毒,没有安装norton杀毒软件的用户也可以在本页下面使用trendmicro公司的杀毒工具查杀病毒。<font color="#FF0000">此问题和新版客户端升级没有任何关系。</font></b></p>
<p><b><font color="#0000FF">目前已经报告win98、winME发现同类问题,但是没有相关的patch,因此请相关用户先尝试杀毒,如果不成功,建议升级到win2000以上的操作系统,或最近暂停使用。</font></b></p>
<b>故障原因:w32.blaster.worm病毒专门攻击Win xp、Win 2000、Win
NT和Win 2003的RPC安全漏洞。</b>
<p><b>故障现象:操作系统不断报“PRC意外中止,系统重新启动”,客户机频繁重启,所有网络服务均出现故障,如IE浏览器打不开,OUTLOOK无法使用等。</b></p>
<p><b><font color="#FF0000">解决方法:</font></b></p>
<p><b>1、先在任务管理器中将 msblast.exe
进程杀掉,之后将windows安装目录下的system32文件夹下的msblast.exe
删除(有可能无法删除,则直接执行第2步)。</b></p>
<p><b>2、</b><b>点击</b><font color="#ff0000"><strong>开始--〉设置——〉控制面板——〉管理工具——〉服务</strong></font></p>
<p><b>然后选择</b><font color="#ff0000"><strong>remote procedure call(RPC)</strong></font><b>.并双击它(如图一)</b></p>
<p><img border="0" src="UploadFile/20038121545556091.jpg"></p>
<p><b>选中Remote
Procedure Call(RPC)服务,<font color="#ff0000"><font color="#000000">并将<font color="#ff0000"><strong>第一次失败、</strong></font></font><strong>第二次失败、第三次失败</strong></font>的选项选择为<font color="#ff0000"><strong>不操作</strong></font>(XP下默认为重启计算机)。</b></p>
<p><img border="0" src="UploadFile/20038121552290242.jpg"></p>
<p><b>3、下载本页下面的RPC漏洞补丁,断开网络,重启机器后安装微软补丁。该补丁需要win2000
ServicePack2以上版本,请到下面网址下载:</b></p>
<p><a href="http://www.microsoft.com/china/windows2000/sp2.htm">http://www.microsoft.com/china/windows2000/sp2.htm</a></p>
<p><b>
注意:可能个别盗版win XP系统不能正常打上补丁,win2000操作系统必须升级SP2以上版本才可安装补丁</b></p>
<p><b>微软的操作系统RPC漏洞补丁:</b></p>
<p><a href="http://218.29.0.250/Windows2000-KB823980-x86-CHS.exe">中文2000补丁</a></p>
<p><a href="http://218.29.0.250/WindowsXP-KB823980-x86-CHS.exe">中文XP补丁</a></p>
<p><a href="http://218.29.0.250/WindowsServer2003-KB823980-x86-CHS.exe">中文2003补丁</a></p>
<p><b>4、安装norton杀毒软件,升级norton最新的8月11日病毒库进行杀毒。
</b><b>使用norton的用户请从下面下载最新的病毒库:</b></p>
<p><a href="http://218.29.0.250/20030811-019-i32.exe">norton最新病毒库</a> </p>
<p><b>其他的用户可以从下面下载trendmicro公司于8月12日提供的杀毒工具,自解压后运行:</b></p>
<p><a href="http://218.29.0.250/trendmicro.exe">trendmicro杀毒工具</a><b>
</b></p>
</blockquote>
<p><b>微软网站关于该问题的说明</b></p>
<blockquote>
<p><a href="http://www.microsoft.com/china/technet/security/bulletin/MS03-026.asp"><font size="3">http://www.microsoft.com/china/technet/security/bulletin/MS03-026.asp</font></a></p>
</blockquote>
<p><b>中国病毒响应中心关于RPC的说明</b></p>
<blockquote>
<table>
<tr>
<td align="left" bgColor="#eeeeee" height="35" width="540"><font color="#990000" size="3"><b>详细描述:</b></font>
<pre>Remote Procedure Call(RPC)是Windows操作系统使用的一种远程过程调用协议,RPC协议
提供一种进程间的交互通信机制,它允许本地机器上的程序进程无缝的在远程系统中运行
代码。该协议的前身是OSF RPC协议,但是增加了微软自己的一些扩展。
最近发现部分RPC在使用TCP/IP协议处理信息交换时不正确的处理畸形的消息导致存在一个
安全漏洞。该漏洞影响使用RPC的DCOM接口,这个接口用来处理由客户端机器发送给服务器
的DCOM对象激活请求(如UNC路径)。如果攻击者成功利用了该漏洞将获得本地系统权限,他
将可以在系统上运行任意命令,如安装程序、查看或更改、删除数据或者是建立系统管理员
权限的帐户等。
要利用这个漏洞,攻击者需要发送特殊形式的请求到远程机器上的135端口.</pre>
</td>
</tr>
<tr>
<td align="left" bgColor="#eeeeee" height="35" width="540"><font color="#990000" size="3"><b>影响系统:</b></font>
<pre>Microsoft Windows NT 4.0
Microsoft Windows NT 4.0 Terminal Services Edition
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server? 2003 </pre>
<pre> </pre>
</td> </tr> <tr> <td align="left" bgColor="#eeeeee" height="35" width="540"><font color="#990000" size="3"><b>风险:</b></font>高</td> </tr> <tr>
<td align="left" bgColor="#eeeeee" height="35" width="540"><font color="#990000" size="3"><b>危害描述:</b></font>
<pre>远程进入系统执行任意代码</pre> </td> </tr> </table> <p> </p> </blockquote> <p><b>symantec公司关于病毒的说明</b></p> <blockquote>
<p><a href="http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html">w32.blaster.worm病毒</a></p>
[此贴子已经被作者于2003-8-12 19:40:59编辑过]
| 
发表于 2003-8-12 00:00
| 
发表于 2003-8-12 00:00
| 
