这两天流行“流言”病毒，大家关注！

zpat

流言病毒解决方案
从昨天开始，陆续接到用户感染流言病毒的报告。其现象是报错，并重启。经过研究，现在提出一个临时的解决方案。如下：
1、        使机器不再重启：
进行管理工具，选择服务，在其中找到Remoter Procedure Call(RPC)项，点击右键，在弹出菜单中选择属性，再选择“恢复”卡片，在“第一次失败”、“第二次失败”和“后续失败”的下拉框中选择“不操作”，再单击确定。（也可以安全模式重启，但好像不太可靠，特别是对宽带上网的用户更是如此）。
2、        安装（可从微软的网站上下载）下面的补丁程序：
WinXPWindowsXP-KB823980-x86-CHS.exe)
Win2000ProWindows2000-KB823980-x86-CHS.exe)
3、        执行完上述操作后，恢复第一步操作中的修改到原始状态。请各位按上述方法进行。
http://www.microsoft.com/china/technet/security/bulletin/MS03-026.asp

阿扬

装个防火墙就可以了。或者把135口给关掉。

cigarsking

多谢羽焰，我用上了！！
[em10]

凝兰

羽焰贴得太晚了,下班前没看到
等到晚10:00连线时,机器重启无数次,惊魂一小时...
汗~现在突然发觉将来还是找个IT界的BF好

zpat

IT界的BF只能帮你治电脑的毛病，
还是找个做医生的BF更好！哈哈哈。。。

gianttoad

按你这么说还是不要bf好，给各界人士留个希望[em05]

s-song

关闭135端口

135端口开放实际上是一个WINNT漏洞,开放的135的端口情况容易引起自外部的"Snork"攻击。

对于135端口开放的问题，可以在你的防火墙上，增加一条规则：拒绝所有的这类进入的UDP包，目的端口是135，源端口是7，19，或者135，这样可以保护内部的系统，防止来自外部的攻击。大多数防火墙或者包过滤器已经设置了很多严格的规则，已覆盖了这条过滤规则，但仍需注意：有一些NT的应用程序，它们依靠UDP135端口进行合法的通讯，而打开你135的端口与NT的RPC服务进行通讯。如果真是这样，你一定要在那些原始地址的系统上(需要135口通讯)，实施上述的规则，指定来自这些系统的通讯可以通过防火墙，或者，可以被攻击检测系统所忽略，以便维持那些应用程序的正常连接。

[此贴子已经被作者于2003-8-13 8:25:00编辑过]

s-song

关闭139端口（NetBIOS提供服务的tcp端口）

Netbios（NETwork Basic Input/Output System）网络基本输入输出系统。是1983年IBM开发的一套网络标准，微软在这基础上继续开发。微软的客户机／服务器网络系统都是基于NetBIOS的。在利用Windows NT4.0 构建的网络系统中，对每一台主机的唯一标识信息是它的NetBIOS名。系统可以利用WINS服务、广播及Lmhost文件等多种模式将NetBIOS名解析为相应IP地址，从而实现信息通讯。在这样的网络系统内部，利用NetBIOS名实现信息通讯是非常方便、快捷的。但是在Internet上,它就和一个后门程序差不多了。因此，我们很有必要堵上这个可怕的漏洞。

对于win9x ：

在windows9x下如果你是个拨号用户。完全不需要登陆到nt局域网络环境的话。只需要在控制面板-网络-删除microsoft网络用户，使用microsoft友好登陆就可以了。但是如果你需要登陆到nt网络的话。那这一项就不能去处。因为nt网里需要使用netbios。

方法1：
1．检查NetBEUI是否出现在配置栏中。打开控制面版，双击“网络”选项，打开“网络”对话框。在“配置”标签页中检查己安装的网络组件中是否有NetBEUI。如果没有，点击列表下边的添加按钮，选中“网络协议”对话框，在制造商列表中选择微软，在网络协议列表中选择NetBEUI。点击确定，根据提示插入安装盘，安装NetBEUI。

2．回到“网络”对话框，选中“拨号网络适配器”，点击列表右下方“属性”按钮。在打开的“属性”对话框中选择“绑定”标签页，将除“TCP/IP->网络适配器”之外的其它项目前复选框中的对勾都取消！

3．回到“网络”对话框，选中“TCP/IP->拨号网络适配器”点击列表右下方“属性”按钮，不要怕弹出的警告对话框，点击“确定”。在“TCP/IP属性”对话框中选择“绑定”标签页，将列表中所有项目前复选框中的对勾都取消！点击“确定”，这时Windows会警告你“尚未选择绑定的驱动器。现在是否选择驱动器？”点击“否”。之后，系统会提示重新启动计算机，确认。

4．证实己取消绑定。重新进入“TCP/IP->拨号网络适配器”的“TCP/IP属性”对话框，选定“NetBIOS”标签页，看到“通过TCP/IP启用NetBIOS”项被清除了吧！连点两次“取消”退出“网络”对话框（不要点“确认”，免得出现什么意外）。

方法2：
运行RegEdit.exe 查找串“vnetbios”,找到后再选择“查找下一个”，将找到象“blahblah\\VxD\\VNETBIOS\\”的串，删除“VNETBIOS”项即可。 操作一定要谨慎，误操作可能导致系统崩溃，另关掉139端口后将无法共享文件和打印功能。

对于winNT ：

在windowsNT下你可以取消netbios与TCP/IP协议的绑定。控制面板-网络-Netbios接口-WINS客户（tcp/ip)-禁用。确定。重启。这样nt的计算机名和工作组名也隐藏了，不过会造成基于netbios的一些命令无法使用。如net等。

对于WIN2000 ：

选中网络邻居——》右键——》本地连接——》INTERNET协议（TCP/IP）——》属性——》高级——》选项——》TCP/IP筛选——》在“只允许”中填入除了137，138，139只外的端口。如果你在局域网中，会影响局域网的使用。

后门的端口

137，138是udp端口。当通过网络邻居传输文件的时候就是通过这个2个端口.139端口是netbios提供服务的tcp端口。在windows9x下可以完全关闭这几个端口。完全禁止了netbios服务。方式是在控制面板-网络-只保留tcp/ip协议和拨号网络适配器。但是这样windows会提示你网络不完整。但是还可以继续使用。在tcp/ip协议里的netbios一项不要选择绑定到tcp/ip协议。这时候你的netbios服务完全停止了。你的机器也没有137，138和139端口了。这样追捕也搞不清你到底是9x还是unix了。windowsNT下可以封锁这些端口。封锁不必要的TCP和UDP端口可以通过在网络控制面板的IP地址对话框中进行配置来完成。 点击高级按钮激活高级IP地址对话框， 然后点击Enable Secury 对话框，然后点击配置按钮激活TCP/IP安全对话框， 那里列出了那些TCP和UDP端口被允许了。但是好像不能识别拨号网络适配器。

以上的方法都是给不需要连接入局域网的计算机的配置方法。如果你是一台拨号上网的单机那么完全可以禁止netbios服务。但是如果你需要接入局域网的话。那你只能注意加密你的共享资源了。否则全互联网的人都可以通过这个windows的“后门”到你的计算机里了：）

阿扬

推荐大家用天网，对付一般的攻击足够

凝兰

song真是博学...
另,昨天的经验还有,这个软件是叫别人QQ给我的,很小的文件,好像在1分钟就可以搞定,然后断开网络,就不会反复重启了,装好后再连上网就没事了,想想还是后怕.

大江东去

以下是引用凝兰在2003-8-13 9:06:01的发言：
song真是博学...

同感，pfpf。

凝兰

"安装（可从微软的网站上下载）下面的补丁程序：
WinXPWindowsXP-KB823980-x86-CHS.exe)
Win2000ProWindows2000-KB823980-x86-CHS.exe)"

只要装了这个补丁就好了...

ybyxk

装个诺顿杀毒软件 2003 正式版吧
http://soft.winzheng.com/SoftView/SoftView_4726.htm

佳藤镇夫

昨天刚搞定，解决方案如下：
第一，到以下地址下载微软的补丁程序，避免此漏洞带来的危害：　　 http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp 如果不能下载补丁。
或用第二方案也行：用天网、金山网镖等网络防火墙关闭“135 139　445”三个端口，以防止病毒的攻击。