瑞星卡卡安全论坛

最新消息，首例利用MS05-039漏洞的蠕虫Zotob.A已经被截获。
    MS05-039，即插即用中的漏洞可能允许远程执行代码和特权提升。早在前两天的时候，关于这个漏洞的代码已被放到网上。根据F-Secure的分析，这个蠕虫Zotob.A是将mytob与Microsoft Windows 2000 Plug and Play Universal Remote Exploit攻击代码结合在一起的产物，并通过TCP445端口扫描其他机器，如果发现漏洞，将会通过ftp从扫描的机器上下载病毒。
    此次的漏洞代码也属远程溢出来进行攻击。通过对漏洞源码的分析，可以看到漏洞代码中提到：
1. 在XP SP1，需要授权用户才能进行攻击；
2. 在XP SP2和2003，要管理员才能进行攻击；
3. 在WIN2000，可以匿名进行攻击

从攻击源码来看，编写者就是在Windows 2000 SP4上进行的测试，所以在此提醒广大用户注意，请赶快给你的机器安装MS05-039的补丁。

我个人注意到，MS05-039漏洞中的Plug and Play服务也是采用X:\WINNT\system32\services.exe，所以很有可能这两天的重启现象与这个远程漏洞有关。

MS05-039补丁下载地址：http://www.microsoft.com/china/technet/security/bulletin/MS05-039.mspx

先帮你顶一下再说

果然~~~~~~今天早上把微软2005发布的共40多个补丁全打了一遍~~~~~~~~~貌似正常了~~~~

再次编辑一下~~~打补丁，就是这么简单~~~~一直上啊上（晚上6点到11点）~一直没发作~~
今天也没~~所以基本认为打补丁就是唯一的解决办法了吧~~

多谢！以后有空常来啊！

今天为这个问题头疼的人有救了

那解决的方法呢？我是说已经中了这毒的朋友。

必须把补丁打上

没完没了的补丁...

谢谢

先顶一下，打了补丁后看似正常了，先运行一段时间后再说。

有此症状的朋友是否已确认?

已经中了也只需要打补丁？

呵呵，关注一下

先试试

哦。。，MS401

大家打过补丁有没有效果啊

好帖~~~我们公司的服务器，前两天就老是隔几分钟就重新启动，现在还没解决呢~！
报的错误就是services.exe的错误。因为本公司没有开启瑞星时时监控，所以导致很多漏洞攻击~！~！我用瑞星都查杀不到病毒。后来用3721的反间谍软件找到5个可疑的恶意代码，其中有“Backdoor.IRC.kelebek.o”文件是c:\Final.exe    Risk ware.tool.PsExec.131_1.还有是c:\winnt\system32\conn\update.exe    瑞星防火墙漏洞攻击显示：Blaster RPC Exploit  源地址：61.145.178.192：2433    目标地址：**************    源地址好象是变化的~！我靠，气死偶了！~！~

我打了该补丁后隔了4小时左右又出现了这个重新启动情况。但是重新启动后，到现在暂时没有发现重新启动现象。

想问几个问题，要是win2k没装sp4，需不需要装sp4后再装此补丁，还有就是已经中毒的用户需不需要重装系统后再装补丁，还有就是瑞星现在有没有关于此病毒的专杀软件啊？
多谢楼主了！

1.当然需要先装SP4，再装05-039。SP2以下的2K系统都不提供补丁了。
2.从目前看到大家提供的log来看，启动项中没有此病毒的启动项，所以我个人怀疑只是受到了攻击，而并没有感染到病毒。具体的分析还要等专业的公司说了算。
3.瑞星有样本了，会做升级的

顶  好东西啊

呵呵，我的机子就是这个现象

谢谢楼主

楼上的兄弟。。是不是升级过了。还有这样的现象了么？

顶

?我打上了补丁,但是用了几个小时就又出现了原来的SERVICES.EXE重启的现象

哎呀，快点出招啊，瑞星要升级哇~~！不然，我们这些顾客岂不是要受害非浅了啊~！~！

我们公司好多二千的电脑都中了毒了咋办类,急死人也

有打过补丁还出现重启情况的朋友，请扫个日志上来，看看有没有什么新的发现。

“冲击波”、“震荡波”、“级速波”，每来一“波”，都要“死”一批系统！系统的主人们——不知道早干什么去了？