影响系统: Windows 2000, Windows XP / Windows 2003

McAfee 命名为：W32/Lovsan.worm

简单描述：

W32.Blaster.Worm 是一种利用DCOM RPC 漏洞进行传播的蠕虫，传播能力很强。

详细描述请参照Microsoft Security Bulletin MS03-026

http://www.microsoft.com/technet/security/bulletin/MS03-026.asp

感染蠕虫可能导致系统不稳定，有可能造成系统崩溃 ，它扫描端口号是TCP/135,

传播成功后他会利用tcp/4444和UDP 69端口下载并运行它的代码程序Msblast.exe.

这个蠕虫还将对windowsupdate.com进行拒绝服务攻击。这样做的目的是为了不能使您

及时地得到这个漏洞的补丁

CCERT正在分析蠕虫的传播机理。

网络控制方法：

如果您不需要应用这些端口来进行服务，为了防范这种蠕虫，你应该在防火墙上阻塞TCP port 4444 ,

和下面的端口:

TCP 4444 蠕虫开设的后门端口，用于远程控制

UDP Port 69, 用于文件下载

TCP Port 135, 微软：DCOM RPC

计算机处理办法：

蠕虫攻击不成功可能导致系统出现了不正常，比如拷贝、粘贴功能不工作，RPC 服务停止；

建议你重新启动计算机，立刻打补丁（下载地址见下文）；

如果你的系统被感染了，系统可能出现如下特征：

1. 被重启动；

2. 用netstat 可以看到大量tcp 135端口的扫描；

3. 系统中出现文件：system32\msblast.exe

4. 系统工作不正常，比如拷贝、粘贴功能不工作，IIS服务启动异常等；

手动删除办法：

1. 检查、并删除文件: system32\msblast.exe

2. 打开任务管理器，停止以下进程 msblast.exe .

3. 进入注册表（“开始->运行：regedit)

找到键值：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

在右边的栏目, 删除下面键值:

"windows auto update"="msblast.exe"

4. 给系统打补丁（否则很快被再次感染）

CCERT:

Windows 2000补丁

http://www.ccert.edu.cn/pub/patch/MS/win2000/Windows2000-KB823980-x86-CHS.exe

Windows XP

http://www.ccert.edu.cn/pub/patch/MS/xp/WindowsXP-KB823980-x86-CHS.exe