‘冲击波补丁’的网子
那位大哥看到了，回下啊
在这谢大家了

[重要警告]关于windows的RPC漏洞
国家计算机病毒应急处理中心根据微软公司发布的通告，即关于RPC 接口中远程任意可执行代码漏洞（823980），向计算机用户发出预警。如果成功利用此漏洞，攻击者就有可能获得对远程计算机的完全控制，并以本地系统权限执行任意指令。攻击者可以在系统上执行任意操作，如安装程序、查看或更改、删除数据、重新格式化硬盘或建立系统管理员权限的帐户。
Microsoft RPC接口远程任意代码可执行漏洞受影响的软件：



　　Microsoft Windows NT 4.0
　　Microsoft Windows NT 4.0 Terminal Services Edition
　　Microsoft Windows 2000
      Microsoft Windows XP
      
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
CCERT关于W32.Blaster.Worm蠕虫的公告（草案）   
  

影响系统:  Windows 2000, Windows XP / Windows 2003
CVE参考:  CAN-2003-0352
McAfee 命名为：W32/Lovsan.worm

简单描述：
W32.Blaster.Worm 是一种利用DCOM RPC 漏洞进行传播的蠕虫，传播能力很强。
详细描述请参照Microsoft Security Bulletin MS03-026
(http://www.microsoft.com/technet/security/bulletin/MS03-026.asp)
感染蠕虫可能导致系统不稳定，有可能造成系统崩溃 ，它扫描端口号是TCP/135,
传播成功后他会利用tcp/4444和UDP 69端口下载并运行它的代码程序Msbl

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

解决办法：
   针对以上漏洞，CCERT建议用户对您的机器采取以下措施：
1、下载安装相应的补丁程序：

Win2000-->http://www.ccert.edu.cn/pub/patch/MS/win2000/Windows2000-KB823980-x86-CHS.exe

WinXP --->http://www.ccert.edu.cn/pub/patch/MS/xp/WindowsXP-KB823980-x86-CHS.exe

Win2003-->http://www.ccert.edu.cn/pub/patch/MS/WindowsServer2003-KB823980-x86-CHS.exe

2、使用防火墙关闭所有不必要的端口，根据我们现在掌握的信息，这些漏洞不仅仅影响135端口，
    它影响到大部分调用DCOM函数的服务端口，因此CCERT建议用户使用网络或是个人防火墙过滤以
    下端口：
    135/TCP     epmap            
    135/UDP     epmap            
    139/TCP     netbios-ssn      
    139/UDP     netbios-ssn      
    445/TCP     microsoft-ds     
    445/UDP     microsoft-ds     
    593/TCP     http-rpc-epmap   
    593/UDP     http-rpc-epmap   

3、使用IDS系统检测来自于网络上的攻击，IDS规则如下:
alert tcp $EXTERNAL_NET any -> $HOME_NET 445
(msg:"NETBIOS SMB DCERPC ISystemActivator bind attempt"; flow:to_server,established;
content:"|FF|SMB|25|"; nocase; offset:4; depth:5; content:"|26 00|"; distance:56;
within:2; content:"|5c 00|P|00|I|00|P|00|E|00 5c 00|"; nocase; distance:5; within:12;
content:"|05|"; distance:0; within:1; content:"|0b|"; distance:1; within:1;
byte_test:1,&,1,0,relative; content:"|A0 01 00 00 00 00 00 00 C0 00 00 00 00 00 00 46|";
distance:29; within:16; reference:cve,CAN-2003-0352;classtype:
attempted-admin; sid:2193; rev:1;)

alert tcp $EXTERNAL_NET any -> $HOME_NET 135
(msg:"NETBIOS DCERPC ISystemActivator bind attempt"; flow:to_server,established;
content:"|05|"; distance:0; within:1; content:"|0b|"; distance:1; within:1; byte_test:
1,&,1,0,relative; content:"|A0 01 00 00 00 00 00 00 C0 00 00 00 00 00 00 46|";
distance:29; within:16; reference:cve,CAN-2003-0352; classtype:attempted-admin;
sid:2192; rev:1;)


注意：
   1、针对第一个漏洞的补丁并没有包括在window 2000 sp4中，你需要下载单独的热修补补丁。
   2、由于rpc服务已经被镶嵌到window的内核当中，因此我们不建议您使用关闭rpc服务的方
      法来防止该漏洞被利用，因为关闭rpc服务可能会导致您的系统出现许多未知的错误
   3、当您的系统突然弹出了svchost.exe出现异常错误的对话框或者是135端口突然被关闭，很
      可能表示你已经受到了这类攻击，请尽快采取相应的措施。