新型病毒出现NT构架用户注意

    昨天晚上一种新型的蠕虫病毒迅速在网络上流传开来。截至目前为止多数没有安装防火墙且通霄达旦开机的NT构架用户，都已经遭受的此病毒的攻击。
      新型病毒的名称为 W32.Blaster.Worm 之所以能够如此迅速的在网络上流传和感染，是由于此病毒利用了NT构架内Remote Procedure Call (RPC)服务的漏洞来进行攻击的。
      目前为止，可能受到攻击的系统包括 Windows 2000/XP 以及 Windows Server 2003。

    病毒利用的端口包括
     TCP Port 135, "DCOM RPC"
      UDP Port 69, "TFTP"

    目前得到的各种系统的中毒症状如下。
    Windows 2000：复制/粘贴无效、svchost.exe服务不断报错、一些硬件加速的功能无法调用、无法拖拽、页面无法浏览等。
     Windows XP：系统自动重新启动。
     如果有上述症状建立立即安装如下补丁：

Win2000 中文版：
http://download.microsoft.com/download/2/8/1/281c0df6-772b-42b0-9125-6858b759e977/Windows2000-KB823980-x86-CHS.exe

Win2000 英文版：
http://download.microsoft.com/download/0/1/f/01fdd40f-efc5-433d-8ad2-b4b9d42049d5/Windows2000-KB823980-x86-ENU.exe

Windows XP 中文版：
http://download.microsoft.com/download/a/a/5/aa56d061-3a38-44af-8d48-85e42de9d2c0/WindowsXP-KB823980-x86-CHS.exe

Windows XP 英文版：
http://download.microsoft.com/download/9/8/b/98bcfad8-afbc-458f-aaee-b7a52a983f01/WindowsXP-KB823980-x86-ENU.exe

     未尽陈列的系统用户我们建议立即登陆Windows Update来进行升级更新。我们建议所有Windows 2000/XP 以及 Windows Server 2003系统的用户立即安装此安全补丁。
      若XP用户时常重新启动无法正常安装补丁可以通过命令 shutdown -a 来暂时缓解重起症状。开始＝》运行＝》shutdown -a
     同时打开资源管理器检索一下是否有 msblast.exe 在运行，若有先在进程中删除再安装补丁。

     请注意，以上措施只是挽救已将崩溃的系统，修正病毒利用的系统漏洞。但是病毒并没有清除。请各位用户在安装好补丁之后，立即安装防毒软件或升级已安装病毒软件的最新病毒库，并全面检测你的系统以确保能够清楚残留在系统中的病毒。
     手动清除方法：
     1. 开始＝》运行＝》taskmgr，启动任务管理器。在其中查找 msblast.exe 进程，找到后在进程上单击右键，选择“结束进程”，点击“是”。
     2. 检查系统的 %systemroot%system32 目录下（Win2K一般是C:WINNTSystem32）是否存在 msblast.exe 文件，如果有，删除它。
    注意－必须先结束msblast.exe在系统中的进程才可以顺利的删除它。
      3. 开始＝》运行＝》regedit，启动注册表编辑器。在注册表中找到 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun , 
    删除其下的“windows auto update"="msblast.exe”键值。
     4. 在DOS窗口打入 netstat -an 来查看是否还有病毒在快速的向外部发送packets。
     这样可以清除蠕虫病毒在系统中的驻留，不过仍然建议大家使用正版的杀毒软件对系统进行全面的检测，以求万无一失。

这是另一版本的操作说明，好像更详细：

你的电脑有无中毒？「疾风」电脑病毒的解决方案

      专门攻击微软视窗操作系统的「疾风」电脑病毒已经造成全球电脑与网路发生严重混乱。这种病毒名称不一，包括「LovSan」、「MSBlast」和「Blaster」等。
     新病毒是利用最近微软的RPC漏洞(MS03-026)进行传播。WINDOWS NT/2000/XP/server 2003等操作系统都存在该漏洞，容易遭到攻击，而Windows 95/98/Me/ Unix/Linux/Mac OS不会被感染。
      怎样知道是否中了「疾风」电脑病毒？该病毒感染系统后，可能会导致计算机产生下列现象：系统资源被大量占用，并且系统反复重启,不能收发邮件、复制粘贴文件不正常、无法正常浏览网页，DNS和IIS服务遭到非法拒绝，有时会弹出RPC服务终止的对话框等。
      在键盘上按下CTRL-ALT-DELETE组合键，如果在任务管理器中发现"msblast.exe"的Process,这意味著电脑已经被感染，此时应选中这一Process并点击End Process按钮将其终止。再进入视窗的目录WINNT或WINDOWS下的system32目录中，找到msblast.exe将其删除。
     然后到微软网站(http://www.microsoft.com/security/incident/blast.asp，或者视窗更新网站http://windowsupdate.microsoft.com )尽快下载安装微软公司的RPC漏洞补丁程序，防止该病毒进一步传播感染。
      病毒也会在注册表内留下痕迹，在点击“开始->运行 敲入regedit， 找到键值：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 。
在右边的栏目, 感染病毒的电脑会有下面键值:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\windows auto update = "msblast.exe"。
     具有一定计算机知识的用户可以手工删除病毒的注册表键值，一般用户则推荐使用计算机防毒软件程序对「疾风」电脑病毒进行完整地删除。
     「疾风」病毒能造成这么大的影响，主要原因是因为用户没有及时给系统打上RPC漏洞补丁的缘故，该漏洞的补丁程序微软公司在7月份就已在其网站上公布。目前很多病毒都是利用操作系统的漏洞来进行攻击及破坏，为防止类似电脑病毒带来损失，用户应养成日常升级操作系统，下载补丁程序及升级防毒软件的习惯。