廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 1784 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[資訊教學] 蠕蟲移除方式.預防方式.
蠕蟲移除方式.預防方式.

移除方式
1. 立刻更改 "SA" 帳號密碼,並取消Windows的 "Guest" 帳號。
2. 若您需要使用Windows的 "Guest" 帳號,則請立即更改密碼。
3. 凡主機已遭侵入,則須更改遭感染主機上之所有帳號密碼。因為「伺必達」蠕蟲會將所收集到的帳號資料寄到(可能是)蠕蟲作者的信箱。
4. 刪除下列registry keys:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetDDE\ImagePath
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetDDE\Start
HKEY_LOCAL_MACHINE\software\microsoft\mssqlserver\client\connectto\dsquery
5. 刪除下列蠕蟲檔案:
attrib -h %WinDir%\system32\drivers\services.exe
attrib -h %WinDir%\system32\sqlexec.js
attrib -h %WinDir%\system32\clemail.exe
attrib -h %WinDir%\system32\sqlprocess.js
attrib -h %WinDir%\system32\sqlinstall.bat
attrib -h %WinDir%\system32\sqldir.js
attrib -h %WinDir%\system32\run.js
attrib -h %WinDir%\system32\timer.dll
attrib -h %WinDir%\system32\samdump.dll
attrib -h %WinDir%\system32\pwdump2.exe
del %WinDir%\system32\drivers\services.exe
del %WinDir%\system32\sqlexec.js
del %WinDir%\system32\clemail.exe
del %WinDir%\system32\sqlprocess.js
del %WinDir%\system32\sqlinstall.bat
del %WinDir%\system32\sqldir.js
del %WinDir%\system32\run.js
del %WinDir%\system32\timer.dll
del %WinDir%\system32\samdump.dll
del %WinDir%\system32\pwdump2.exe
6. Unregister "timer.dll" ,以免被蠕蟲掃瞄及感染:
regsvr32 /u TIMER.DLL
預防方式
若您的MS SQL Server尚未遭致感染,建議採取以下方式阻絕「伺必達」蠕蟲的攻擊:
1. 更改MS SQL Server "SA" 帳號的預設密碼(空白),及執行「強烈的」密碼政策,以避免容易遭到「伺必達」蠕蟲或駭客侵入。
2. 下載Microdoft最新之Service Packs及Hotfixes。
另外,諮安科技亦建議您透過以下幾個方式,提升 貴單位之安全等級:
3. 另外新建管理者的帳號,而不要使用預設帳號(如:"SA")。
4. 安裝、使用應用程式時,不要使用其預設埠(如:MS SQL預設為1433)。
5. 記錄所有企圖存取已經「disable」的預設帳號連線。
6. 作業系統僅開啟所需之服務,避免因不當設定讓駭客「有機可趁」。這個部分,您可詢問 貴公司所委託之資訊安全顧問公司,討論相關之安全政策問題。
7. 系統管理者需隨時注意下載最新之修正程式,尤其是最常提供服務之HTTP、FTP、Mail、DNS。
8. 調整 貴單位的Mail Server設定,阻擋及刪除經常附夾病毒的檔案格式,如:.vbs、.bat、.exe、.pif及.src等。
參考網站
賽門鐵克網站:
http://securityresponse.symantec.com/avc...gispid.b.worm.html
eEye網站:
http://www.eeye.com/html/Researc...L20020522.html
Internet Storm Center:
http://www.inc...s.org
解決方法:
1. 電腦族如果收到sample.exe檔案,請直接刪除,勿開啟以免中毒。
2. 趨勢科技產品用戶請立即更新掃瞄引擎至5.20以上和病毒碼至161 / 961(含)以上,以偵測及清除此病毒。
3. 如果您有安裝eManager可以設定收到sample.exe檔案附件移除。
4. IIS 主機.請至微軟網站下載Service Pack , Windows NT 4 , Windows 2000 及其Patch (MS01-044), 您可以參考下列URL更新方式1.這個病毒會將您的磁碟機分享至網路上芳鄰, 請檢查是否開啟資訊分享,若是.請您關閉
5. 這個蠕蟲會利用 'Microsoft IE MIME Header Attachment Execution Vulnerability' 以便於執行e-mail夾帶的病毒,請連接至下列網站,立即更新Patch
http://www.microsoft.com/technet/s...n/MS01-020.asp
http://www.cert.org/advis...01-06.html
6. 若您有IIS 主機 , 病毒也會攻擊 含有 'Microsoft Web Server Folder Traversal” 服務的主機. 請連接至下列網站,閱讀相關說明: http://www.microsoft.com/technet/s...n/ms00-078.asp
立即更新Patch
http://www.microsoft.com/technet//...in/MS01-044.asp
我們會隨時更新病毒資訊.若您有此病毒的問題,請連結至趨勢科技網站(台灣http://www.trend.com.tw或美國http://www.ant...s.com)去查閱相關資料



爸爸 你一路好走
獻花 x0 回到頂端 [樓 主] From:臺灣和信超媒體寬帶網 | Posted:2006-12-21 04:34 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.013372 second(s),query:15 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言