下沙论坛
标题:
发现冲击波新变种
[打印本页]
作者:
考拉
时间:
2004-4-17 13:30
标题:
发现冲击波新变种
这个帖子不是哪转的,是我自己发现的……
! }5 G" Z5 l' R; B; x
6 T; k$ ^7 _5 \+ K
症状和以前中冲击波一样的,1分钟重起。我试过用很多转杀工具杀过,找不到病毒。后来我重装了系统,关闭了135,445,139端口,打补丁……OK,没有再中。
' ?& @6 N0 ~! D0 }, R$ K5 t
2 h5 @7 j5 W# N
我们这边已经发现有3,4个人中了。QQ上还有人像我求救,看来面积有点大,大家小心点!
作者:
考拉
时间:
2004-4-17 13:34
现在没有发现可以杀的工具,关端口……
u6 T% D& A0 Z( B4 }5 P" l
139端口是NetBIOS Session端口,用来文件和打印共享,注意的是运行samba的unix机器也开放了139端口,功能一样。以前流光2000用来判断对方主机类型不太准确,估计就是139端口开放既认为是NT机,现在好了。
5 R! r" ~2 d: ~0 ^9 @
; L/ i, G' O& K) p) i" C3 T
关闭139口听方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。
! e4 s q9 d9 {6 w. u6 x$ x Y
8 s- u& P$ m. u' W6 r
$ T4 G. g/ L, v! g4 W: {# e; S
用一款16为编辑软件(推荐UltraEdit)打开你系统x:\winnt\system32或者x:\windows\system32下的rpcss.dll文件。
0 ?8 \- N( q9 Y9 x3 h
8 U: j; d% c' q1 [
查找31 00 33 00 35
+ \7 }2 |( v9 ^! Z
# @# W6 U4 y$ [0 l& a3 {3 D
替换为30 00 30 00 30
" x( m B" I5 x& L9 c% g) K- x4 q; c
3 m% n' j- X9 c( y+ B1 X9 I1 v( d$ }
查找3100330035,将其替换为3000300030,意思就是将135端口改为000。
0 M; l5 N- V5 i: I) f
至此修改的任务已经完成,下面将面临一个保存的问题。因为该文件正在运行,在Windows环境下是不能覆盖的。如果你是FAT32文件系统,那么直接引导进DOS环境,将修改好的文件覆盖掉原来的文件。
9 ?8 B. G+ k" x" H* ?
如果是NTFS格式,相对就麻烦一些。进安全模式。然后启动pulist列出进程,然后用pskill这个程序(不少黑客网站有的下)杀掉svchost.exe程序。然后在COPY过去。
) N/ {3 Z( D W, c
覆盖后重新启动,使用netstat -an命令,可以看到Windows 2000下已经没有135端口了。XP系统下还有TCP的135,但是UDP里面已经没有135端口了。
: C! k3 w! s$ ?& t8 z F& G
C: b P4 F' R9 z8 i( b5 V
445:我的电脑---属性---远程里的二个勾去了!
0 Z1 Z- `& \/ S5 O
1 l, H* @) X) y7 }
作者:
煎饼
时间:
2004-4-17 23:48
我觉得比较奇怪,我没有中,因为我打了微软所有的补丁
作者:
考拉
时间:
2004-4-18 10:09
我也打了最新的补丁……还是中了……
欢迎光临 下沙论坛 (http://bbs.xiasha.cn/)
Powered by Discuz! X3.3