学院通知,蠕虫的公告

图片 3

各单位:
为确保新学期开学工作顺利进行,学院领导及有关部门负责人定于8月29日到各系和各行政部门检查工作。现将有关安排通知如下,请各单位做好各项准备工作,并请各单位领导依时在岗(办公室或领导指定的位置)接受检查。
图片 1注:1、检查组集合地点自定。
2、表内单位排序并非检查顺序,检查顺序由各组工作人员另行通知。
惠州学院院长办公室 二○○三年八月二十七日

根据上级党组织的规定,我院党员领导干部民主生活会将于9月份进行。为保证民主生活会的顺利召开,8月25日上午,由党办、组织部、纪委等部门负责人组成调查组于丰湖校区第二会议室主持召开征求意见会,通过问卷形式征求党内外干部群众对学院领导班子及党员领导成员的意见,机关和教学系中层干部、教师、离退休干部等三个层面的代表33人分两批次参加了会议。
本次民主生活会的主题是:以邓小平理论和“三个代表”重要思想为指导,按照胡锦涛同志去年12月在西柏坡学习考察时强调要牢记“两个务必”的要求和去年4月中旬在粤考察时的重要讲话精神,结合学院实际,认真检查领导班子和领导成员在保持谦虚谨慎、不骄不躁、艰苦奋斗作风方面存在的突出问题。同时,检查执行纪律方面的问题。
本次民主生活会主要由征求意见、会前学习、撰写民主生活会发言稿、开展批评和自我批评、整改等五个环节组成,今天开始的征求意见会,拉开了民主生活会的序幕。图片 2
图片 3
记者:叶仕栋 摄影:曾裕林

蠕虫名称   W32.Blaster.Worm (symantec)   W32/Lovsan.worm (McAfee)
  WORM_MSBLAST.A (Trend Micro)   Win32.Posa.Worm (CA)   Lovsan
(F-secure)   CVE参考:CAN-2003-0352   BUGTRAQ ID:8205   影响系统
  Microsoft Windows NT 4.0 (包括所有SP补丁版本)   Microsoft
Windows 2000 (包括所有SP补丁版本)   Microsoft Windows XP
(包括所有SP补丁版本)   Microsoft Windows Server 2003   特征描述
  W32.Blaster是一种利用DCOM
RPC漏洞(请参考 bulletin/
MS03-026.asp)进行传播的蠕虫,传播能力很强。蠕虫传播时破坏了系统的核心进程svchost.exe,从而导致系统不稳定,并可能造成系统崩溃。它扫描的端口号是TCP/135,攻击成功后它会利用TCP/4444和UDP/69端口下载并运行它的代码程序Msblast.exe。
  蠕虫感染特征:   1、 蠕虫攻击可能导致RPC
服务停止,因此可能引起其他服务(如IIS)不能正常工作;   2、
攻击不成功时,可能导致系统出现了不正常,比如拷贝、粘贴功能不工作,无法进入网站页面链接等等;
  3、 成功溢出时,系统表现为如下特征:   * 系统被重启动;   *
用netstat 可以看到大量TCP/135端口的扫描;   * 系统中出现文件:
%Windir%\system32\msblast.exe;   *
注册表中出现键值:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
“windows auto update”=”msblast.exe”;   控制方法
  如果您不需要使用下面的端口,可以在防火墙或路由器上暂时阻塞下面的端口:
   * TCP 4444 蠕虫开设的后门端口,用于远程命令控制   * UDP Port 69
用于文件下载   * TCP Port 135 蠕虫用以下端口发现有漏洞的系统   *
TCP Port 137   * TCP Port 139   如果您使用cisco
路由器,可以用如下访问控制列表来防止蠕虫的扫描和传播(仅作参考):   !
以前的控制规则   ! …..   access-list 110 deny tcp any any eq 135
  access-list 110 deny tcp any any eq 4444   access-list 110 deny
udp any any eq 69   access-list 110 permit ip any any   interface s0
  ip access-group 110 in   检测和删除
  如果你的计算机感染了蠕虫,可以用下面办法手工删除:   1.
检查、并删除文件: %Windir%\system32\msblast.exe   2.
打开任务管理器,停止以下进程 msblast.exe .   3.
进入注册表(“开始->运行:regedit), 找到键值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  在右边的栏目, 删除下面键值: “windows auto update”=”msblast.exe”
  4. 给系统打补丁(否则很快被再次感染),补丁下载地址参见下文。
  5.如果您安装了网络入侵检测系统,请尽快升级检测规则,Symantec公司给出的检测规则如下:
alert tcp $EXTERNAL_NET any -> $HOME_NET 135 \ (msg:”DCE RPC
Interface Buffer Overflow Exploit”; \ content:”|00 5C 00 5C|”; \
content:!”|5C|”; within:32; \ flow:to_server,established; \
reference:bugtraq,8205; rev: 1; )   补丁下载
  微软:
MS03-026.asp   网络中心提供的冲击波病毒专杀工具:
  蠕虫感染途径   1.
蠕虫感染系统后首先检测是否有名为”BILLY”的互斥体存在,如果检测到该互斥体,蠕虫就会退出,如果没有,就创建。
  2. 在注册表
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中添加以下键值:windows
auto update”=”msblast.exe” 以保证每次用户登录的时候蠕虫都会自动运行。
  3.
蠕虫还会在本地的UDP/69端口上建立一个tftp服务器,用来向其它受侵害的系统上传送蠕虫的二进制程序msblast.exe。
  4.
蠕虫选择目标IP地址的时候会首先选择受感染系统所在子网的IP,然后再按照一定算法随机在互连网上选择目标攻击。
  5.
向目标的TCP/135端口发送攻击数据。如果攻击成功,会监听目标系统的TCP/4444端口作为后门,并绑定cmd.exe。然后蠕虫会连接到这个端口,发送tftp命令,回连到发起进攻的主机(UDP/69端口),将msblast.exe传到目标系统上,然后运行它。
  蠕虫检测到当前系统月份是8月之后或者日期是15日之后,也就是说,在1月至8月的16日至此月最后一天,以及九月至十二月的任意一天,就会向微软的更新站点”windowsupdate.com”发动拒绝服务攻击。蠕虫所带的攻击代码来自一个公开发布的攻击代码,当攻击失败时,可能造成没有打补丁的Windows系统RPC服务崩溃,Windows
XP系统可能会自动重启。该蠕虫不能成功侵入Windows
2003,但是可以造成Windows
2003系统的RPC服务崩溃,默认情况下,这将使系统重启。
  蠕虫代码中还包含以下文本数据:   I just want to say LOVE YOU SAN!!
  billy gates why do you make this possible ? Stop making money and
fix your software!!
(比尔·盖茨,你为什么要使这种攻击成为可能?不要再只顾挣钱了,好好修补你发行的软件吧。)