Msblast駭蟲成發送器 停用DCOM可自保
ZLOCK更新後可偵測並關閉漏洞 保護用戶安全

漏洞駭蟲 Msblast_Worm 利用已知的 DCOM/RPC Buffer Overflow 漏洞，透過 TCP Port 135 入侵電腦，受影響的系統包含 Windows NT/2000/XP/2003.NET 系統。

Buffer Overflow 漏洞會讓駭蟲在被入侵的電腦上打開一個 TCP port 4444 ，並利用 tftp 從遠端中毒的電腦下傳一個 Msblast.exe 檔案到 Windows 的 System32 目錄內執行，如此被入侵的電腦就成了另一個駭蟲發送器，繼續入侵其它有漏洞的電腦。

ZLOCK【先知防禦技術】可以在不更新病毒碼的情形下，偵測到 Spybot_Worm 類型駭蟲，其他電腦用戶可以手動檢查電腦是否遭到入侵。使用者可以在微軟網站下載修補程式，避免相同手法的病毒。

由於使用者常連上網路要修補漏洞時，駭蟲即入侵，造成無法修補。有鑑於此，金帥 ZLOCK 又開發新功能，可以在還沒修補漏洞前提醒使用者修補漏洞並可以關掉 DCOM/RPC 服務，以免連上網路後駭蟲又入侵。

漏洞修補程式位址：
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp

Msblast 駭蟲行為：
1. 利用已知的 DCOM/RPC Buffer Overflow 漏洞，透過 TCP port 135 入侵 Windows NT/2000/XP/2003.NET 系統。
2. 打開一個 TCP port 4444 ，並利用 TFTP 從遠端中毒的電腦下傳一個 Msblast.exe 檔案到 Windows 的 System32 目錄內執行。
3. 修改註冊值，使開機即啟動駭蟲。
4. 隨機產生 IP 入侵其它電腦。
5. 開啟 UDP port 69 成 TFTP 伺服器，讓遠端電腦可以下傳 Msblast.exe。
6. 2003年8月16日，開始對微軟的 windowsupdate.com 網站發出阻斷式攻擊，讓使用者無法順利連上微軟更新。
7. 電腦的複製、貼上功能會失效。
8. 部分電腦的 Svchost 會執行失敗，造成 RPC Service 錯誤，讓電腦不停的重開機。
9. 駭蟲內含訊息(沒有顯示出來)：
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!

檢查方法：
尋找 Windiows 的 System32 目錄下，如果有 Msblast.exe 檔案，代表駭蟲已經進入。

手動清除方法：
1. 開機至安全模式下(開機後，點選 F8，選擇安全模式進入)。
或開機至正常模式→將網路線拔除→至工作管理員將 Msblast 處理程序結束工作。
2. 刪除 Windows 的 System32 目錄下的 Msblast.exe 檔案。
3. 參考下面【如何在尚未更新漏洞前不受駭蟲入侵】，再進行漏洞修補，連上網才不會受到駭蟲再度攻擊。

如何在尚未更新漏洞前不受駭蟲入侵：
停用電腦上的 DCOM，使用者可在未修補漏洞前不受到駭蟲入侵。
如何停用DCOM功能：
1.開始→控制台→系統管理工具→元件服務
2.至我的電腦→按滑鼠右鍵→選內容，如下圖：

3.到【預設內容】→停用【在此電腦上啟用分散式 COM】，如下圖：


4.連上微軟網站進行程式修補動作。
漏洞修補程式位址：
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp

5.修補後再依同樣的步驟，重新開放【在此電腦上啟用分散式 COM】。，如下圖：