Board logo

主題: [求助] [求助]哪種病毒會去嘗試遠端桌面連線? [打印本頁]

發表人: Azure    時間: 2006-8-24 05:02 PM     主題: [求助]哪種病毒會去嘗試遠端桌面連線?

電腦因為疑似中毒被BAN了..
理由是

CODE:
[Copy to clipboard]
_CERT_Term_SRV
連續密集使用「遠端桌面連線 Windows Terminal Server」,疑似有試探密碼之行為。
想問是有什麼病毒會造成這現象嗎
或是微軟的漏洞?(那台很久沒做windows update了..)

我現在只想得到先治標:
把遠端桌面的預設port(3389)給擋掉、禁止連到外面的3389
然後再看看怎麼處理…
我還沒用防毒掃…因為連不進去
不過想先問看看囉
想問看看有沒有哪位大大知道這是哪種 病毒/漏洞/蠕蟲 所引起?
該怎麼處理比較好~
發表人: dennischerry    時間: 2006-8-30 12:55 PM

CNET新聞專區:綜合外電  2005/07/19




一項Windows的安全漏洞可讓駭客從遠端危害許多版本的Windows電腦。

微軟周六發佈公告指出,遠端桌面協定(Remote Desktop Protocol, RDP)的一項瑕疵,將使Windows 2000、Windows XP與Windows Server 2003都可能遭到阻斷服務(DoS, denial of service)攻擊。

RDP是一種Windows遠端存取協定。Windows處理遠端桌面呼叫過程中的瑕疵可讓駭客寄送格式錯誤(malform)的遠端呼叫,藉此使PC當掉。

微軟在安全研究員上周發現Windows XP的漏洞問題後而於周五證實並發出公告。

微軟表示修補程式還在加緊完成中,但指出還沒有發現任何利用該項弱點的攻擊行為。但上周六The SANS Institute的安全專家已發現針對RDP使用之傳輸埠的掃瞄活動有增加趨勢。這可能是駭客蠢蠢欲動的跡象之一。

大部分的Windows電腦出貨時RDP服務是預設關閉的,但搭載Windows XP Media Center Edition的Remote Desktop卻是開啟RDP的。微軟表示只有RDP開啟的電腦才會遭受攻擊。

用到RDP的服務包括Windows 2000與Windows Server 2003的終端服務(Terminal Service),以及Windows XP中的遠端桌面共享及遠端協助(Remote Sharing and Remote Assistance)。

在修補程式推出之前,微軟建議使用者關閉防火牆上的TCP port 3389(RDP所使用的傳輸埠),沒有必要不要打開終端服務及遠端桌面服務,或強化使用網際網路安全協定 (Internet Protocol Security)或VPN的遠端桌面連線。(鍾翠玲)
發表人: whchen    時間: 2006-8-31 09:40 AM

您的情形看起來應該是電腦被惡意攻擊者當跳板
攻擊他人的遠端桌面連線

如該機器沒有特別的工作建議先中斷網路連線
1. 更新所有的windows更新程式
2. 使用fport or IceSword等工具檢查本地端是否有被開啟異常的port
3. 使用掃毒工具或木馬移除工具移除木馬
4. 重複2-4的動作!如OK則進入4,如重複數次依然掃到病毒...建議重灌

強烈建議要安裝windows所有的更新檔
並且關閉非必要的windows服務
發表人: mmcatdog    時間: 2006-9-1 07:46 PM

我沒有注意到2005/07/19這篇報導 但是我的遠端確實中毒 之前也有發過文
尋求解決方法 但後來全殺掉重裝




歡迎光臨 TWed2k (http://twed2k.org/) Powered by Discuz! 4.1.0