冲击波病毒
天下维客,你可以修改的网络知识库
冲击波
- ;英文:Blaster (computer worm)
- 冲击波病毒是一种冲击波”病毒Worm.msBlast是第一个利用RPC漏洞进行攻击和传染的病毒!受影响的系统包括:NT4.0、Windows2000、WindowsXP和Windows2003系列产品,但是Windows98和WindowsME由于未采用RPC机制就不会感染。
蠕虫病毒。
目录 |
冲击波病毒介绍
该病毒于8月12日被瑞星全球反病毒监测网率先截获。病毒运行时会不停地利用IP扫描技术寻找网络上系统为Win2K或XP的计算机,找到后就利用DCOM RPC缓冲区漏洞攻击该系统,一旦攻击成功,病毒体将会被传送到对方计算机中进行感染,使系统操作异常、不停重启、甚至导致系统崩溃。另外,该病毒还会对微软的一个升级网站进行拒绝服务攻击,导致该网站堵塞,使用户无法通过该网站升级系统。在8月16日以后,该病毒还会使被攻击的系统丧失更新该漏洞补丁的能力。
病毒的发现与清除:
1. 病毒通过微软的最新RPC漏洞进行传播,因此用户应先给系统打上RPC补丁,补丁地址:
http://it.rising.com.cn/newSite/Channels/info/virus/TopicDatabasePackage/12-145900547.htm
2. 病毒运行时会建立一个名为:“BILLY”的互斥量,使病毒自身不重复进入内存,并且病毒在内存中建立一个名为:“msblast”的进程,用户可以用任务管理器将该病毒进程终止。
3. 病毒运行时会将自身复制为:%systemdir%\msblast.exe,用户可以手动删除该病毒文件。
注意:%Windir%是一个变量,它指的是操作系统安装目录,默认是:“C:\Windows”或:“c:\Winnt”,也可以是用户在安装操作系统时指定的其它目录。%systemdir%是一个变量,它指的是操作系统安装目录中的系统目录,默认是:“C:\Windows\system”或:“c:\Winnt\system32”。
4. 病毒会修改注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项,在其中加入:"windows auto update"="msblast.exe",进行自启动,用户可以手工清除该键值。
5. 病毒会用到135、4444、69等端口,用户可以使用防火墙软件将这些端口禁止或者使用“TCP/IP筛选” 功能,禁止这些端口。
用户如果在自己的计算机中发现以上全部或部分现象,则很有可能中了冲击波(Worm.Blaster)病毒。为避免用户遭受损失,瑞星公司已于截获该病毒当天就进行了升级,瑞星杀毒软件2003版、瑞星在线杀毒、瑞星杀毒软件“下载版”,这三款产品每周三次同步升级,15.48.01版已可清除此病毒,目前瑞星用户只需及时升级手中的软件即可彻底拦截此病毒。
冲击波蠕虫病毒症状
1、系统资源被大量占用
2、有时会弹出RPC服务终止的对话框,并且系统反复重启
3、用netstat 可以看到大量tcp 135端口的扫描
4、系统中出现文件: %Windir%\system32\msblast.exe
5、不能收发邮件、不能正常复制文件、无法正常浏览网页
6、复制粘贴等操作受到严重影响,DNS和IIS服务遭到非法拒绝等
瑞星反病毒专家的安全建议
1. 建立良好的安全习惯。例如:对一些来历不明的邮件及附件不要打开,不要上一些不太了解的网站、不要执行从 Internet 下载后未经杀毒处理的软件等,这些必要的习惯会使您的计算机更安全。
2. 关闭或删除系统中不需要的服务。默认情况下,许多操作系统会安装一些辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便,而又对用户没有太大用处,如果删除它们,就能大大减少被攻击的可能性。
3. 经常升级安全补丁。据统计,有80%的网络病毒是通过系统安全漏洞进行传播的,象红色代码、尼姆达等病毒,所以我们应该定期到微软网站去下载最新的安全补丁,以防范未然。
4. 使用复杂的密码。有许多网络病毒就是通过猜测简单密码的方式攻击系统的,因此使用复杂的密码,将会大大提高计算机的安全系数。
5. 迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网,以防止计算机受到更多的感染,或者成为传播源,再次感染其它计算机。
6. 了解一些病毒知识。这样就可以及时发现新病毒并采取相应措施,在关键时刻使自己的计算机免受病毒破坏:如果能了解一些注册表知识,就可以定期看一看注册表的自启动项是否有可疑键值;如果了解一些内存知识,就可以经常看看内存中是否有可疑程序。
7. 最好是安装专业的防毒软件进行全面监控。在病毒日益增多的今天,使用毒软件进行防毒,是越来越经济的选择,不过用户在安装了反病毒软件之后,应该经常进行升级、将一些主要监控经常打开(如邮件监控)、遇到问题要上报, 这样才能真正保障计算机的安全。
windows XP防治冲击波病毒方法
如果您使用的是 Microsoft® Windows® XP 或 Windows XP Service Pack 1 (SP1) 并且您的计算机感染了震荡波蠕虫病毒,则可以采取这些措施来更新您的软件、移除蠕虫病毒并使您免于以后再被感染。
第 1 步:断开 Internet 连接
为了避免出现更多问题,请断开 Internet 连接:宽带连接用户: 确定连接外置 DSL 或电缆调制解调器的电缆位置,然后从调制解调器或电话线插孔将该电缆拔下。拨号连接用户:确定连接计算机内置调制解调器与电话线插孔的电缆位置,然后从电话线插孔或从计算机将该电缆拔下。
第 2 步:终止关机周期
此蠕虫会导致 LSASS.EXE 停止响应,此程序使操作系统在 60 秒钟后强行关机。 如果您的计算机开始关机,请按照这些步骤中断可能处于运行状态的任意系统关机进程。在屏幕底部的任务栏上单击“开始”,然后单击“运行”。键入“cmd”,然后单击“确定”。在命令提示符下,键入“shutdown.exe -a”,然后按 ENTER。
第 3 步:减轻漏洞隐患
您可以通过创建日志文件来暂时消除令蠕虫病毒可通过其侵入计算机的漏洞。创建日志文件,在屏幕底部的任务栏上单击“开始”,然后单击“运行”。键入“cmd”,然后单击“确定”。在命令提示符下键入“ echo dcpromo >%systemroot%\debug\dcpromo.log ”,然后按 ENTER。将日志文件设置为只读属性,在命令提示符下键入“attrib +R %systemroot%\debug\dcpromo.log”,然后按 ENTER。
第 4 步:改善系统性能
如果您的计算机反应迟缓或者 Internet 连接速度过慢,则说明蠕虫病毒可能已经在您的局域网连接内扩散。 这会使您无法下载并安装所需的软件更新。 要改善系统性能:按 CTRL+ALT+DELETE,然后单击“任务管理器”。对于以下可能列出的每个任务,单击并选中该任务,然后单击“结束任务”按钮,将其结束。任意以_up.exe 结尾的任务(例如 12345_up.exe)。任意以avserve 开头的任务(例如 avserve.exe)。任意以avserve2 开头的任务(例如 avserve2.exe)。 任意以skynetave 开头的任务(例如 skynetave.exe)。.exe ,msiwin84.exe ,wmiprvsw.exe.注意:切勿结束 wmiprvse.exe 任务;这是一个合法的系统任务。
第 5 步:启用防火墙
防火墙是一个软件或硬件,能够在计算机和 Internet 之间构筑一道保护屏障。 如果您的计算机已感染病毒,防火墙将有助于限制蠕虫的影响。 Windows XP 包含 Internet 连接防火墙 (ICF)。 要打开 ICF:在屏幕底部的任务栏上单击“开始”,然后单击“控制面板”。单击“网络与 Internet 连接”。(如果未显示“网络与 Internet 连接”,请单击“控制面板”窗口左侧“控制面板”中的“切换到分类视图”。)单击“网络连接”。右键单击用于连接至 Internet 的拨号、LAN 或高速 Internet 连接 ,然后单击快捷菜单中的“属性”。在“Internet 连接防火墙”的“高级”选项卡上,选择“保护我的计算机和网络”,然后单击“确定”。 现在,您便已开始启用 Windows XP 防火墙。
第 6 步:重新连接 Internet
将电缆(参阅第 1 步)重新接回计算机、电话线插孔或调制解调器。
第 7 步:安装所需的更新
要使以后您的计算机不受此蠕虫病毒的感染,您必须下载并安装安全更新 835732,此更新以 Microsoft 安全公告 MS04-011 发布。 要下载安全更新 835732,请转到 http://cies.hhu.edu.cn/display.asp?ID=223
第 8 步:检查并移除震荡波蠕虫
在完成安装更新并重新启动计算机.
- 其他的杀毒软件参见:电脑病毒
