新发现的蠕虫病毒W32.Blaster.Worm
此病毒扫描随机IP地址段,通过TCP端口135寻找受影响的系统。此病毒利用DCOM RPC 漏洞。
当病毒代码被送至受影响系统,它会通过TFTP从一个远端系统下载并执行MSBLAST.EXE。一旦执行,病毒生成注册表键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill
病毒症状:一部分用户可能感觉不到任何症状。一个典型的症状是没有用户操作的情况下,系统每隔几分钟重新启动。用户可能会看到:
- 异常的 TFTP* 文件的存在
- 文件msblast.exe在WINDOWS SYSTEM32目录中存在
此漏洞已被安全补丁MS03-026解决
摘抄至微软中国