病毒中文名:沖擊波(包括很多變種)
病毒類型:蠕蟲病毒
攻擊對象:Windows NT 4.0,Windows 2000,Windows XP,Windows Server 2003等
傳播途徑:“沖擊波”是一種利用Windows系統的RPC(遠程過程調用,是一種通信協定,程式可使用該協定向網絡中的另一台計算機上的程式請求服務)漏洞進行傳播、隨機發作、破壞力強的蠕蟲病毒。它不需要通過電子郵件(或附件)來傳播,更隱蔽,更不易察覺。它使用IP掃描技術來查找網絡上操作系統爲Windows 2000/XP/2003的計算機,一旦找到有漏洞的計算機,它就會利用DCOM(分布式對象模型,一種協定,能夠使軟體組件通過網絡直接進行通信)RPC緩沖區漏洞植入病毒體以控制和攻擊該系統。
中毒症狀:
1.系統資源緊張,應用程式運行速度異常;
2.網絡速度減慢,“DNS”和“ⅡS”服務遭到非法拒絕,用戶不能正常浏覽網頁或收發電子郵件;
3.不能進行複制、粘貼操作;
4.Word、Excel、PowerPoint等軟體無法正常運行;
5.系統無故重新開機,或在彈出“系統關機”警告提示後自動重新開機等等。
應急辦法:
如果不小心感染病毒,可以使用如下步驟進行查殺:
1.關閉“系統關機”提示框
在出現關機提示時,在“開始→運行”中輸入“shutdown -a”,即可取消“系統關機”提示框,該方法確保用戶有足夠的時間下載補丁。
2.下載針對“沖擊波”的補丁
Windows 2000簡體中文版補丁下載地址:http://www.microsoft.com/downloads/details.aspx?displayh-cn&familyid=c8b
Windows XP 簡體中文版(32位)補丁下載地址:
http://www.microsoft.com/downloads/details.aspx?displayh-cn&familyid=
Windows Server 2003 中文版(32位))補丁下載地址:
http://www.microsoft.com/downloads/details.aspx?displayh-cn&familyid=f8e0ff
在下載補丁時,要注意不同的操作系統、不同的版本均有不同的補丁,不可混淆。安裝補丁時,盜版Windows XP系統可能不能正常安裝,Windows 2000操作系統則必須更新SP2以上版本才可安裝。
Windows2000 Service Pack 4簡體中文版下載地址:http://download.microsoft.com/download/
3.下載專殺工具
瑞星“沖擊波(Worm.Blaster))”病毒專殺工具下載地址:http://download.rising.com.cn/zsgj/ravzerg.exe
金山“沖擊波(Worm.Blaster))”病毒專殺工具下載地址:http://www.duba.net/download/othertools/duba_sdbot.exe
4.脫機殺毒
斷開網絡連接,然後運行專殺工具,這些工具體積小巧,操作簡單,按照提示操作即可。
手工清除:
如果想體驗一下手工殺毒的樂趣,可以按以下步驟操作:
1.中止進程
按“Ctrl+Alt+Del”組合鍵,在“Windows 任務管理器”中選擇“進程”選項卡,查找“msblast.exe”(或“teekids.exe”、“penis32.exe”),選中它,然後,點擊下方的“結束進程”按鈕。
提示:如不能運行“Windows 任務管理器”,可以在“開始→運行”中輸入“cmd”打開“命令提示符”視窗,輸入以下命令“taskkill.exe /im msblast.exe”(或“taskkill.exe /im teekids.exe”、“taskkill.exe /im penis32.exe”)。
2.刪除病毒體
依次點擊“開始→搜索”,選擇“所有檔案和檔案夾”選項,輸入關鍵詞“msblast.exe”,將查找目標定在操作系統所在分區。搜索完畢後,在“搜索結果”視窗將所找到的檔案徹底刪除。然後使用相同的方法,查找並刪除“teekids.exe“和“penis32.exe”檔案。
提示:在Windows XP系統中,應首先禁用“系統還原”功能,方法是:右擊“我的電腦”,選擇“屬性”,在“系統屬性”中選擇“系統還原”選項卡,勾選“在所有驅動器上關閉系統還原”即可。
如不能運行“搜索”,可以在“開始→運行”中輸入“cmd”打開“命令提示符” 視窗,輸入以下命令:
“del 系統盤符winntsystem32msblast.exe”(Windows 2000系統)或“del系統盤符windowssystemmsblast.exe”(Windows XP系統)
3.修改系統資料庫
點擊“開始→運行”,輸入“regedit”打開“系統資料庫編輯器”,依次找到“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”,刪除“windows auto update=msblast.exe”(病毒變種可能會有不同的顯示內容)。
4.重新開機計算機
重新開機計算機後,“沖擊波”病毒就已經從系統中完全清除了。
防 禦:
可以通過系統更新、優化網絡設定和使用第三方軟體的方法來增強系統的安全性能。
系統更新防病毒
安裝針對“沖擊波”的補丁後,怎樣確認補丁已經正確安裝呢?我們可以通過查看系統資料庫的方法來確認,方法如下:在“開始→運行”中輸入“regedit”,打開“系統資料庫編輯器”,查看相應的系統資料庫信息:
“HKEY_LOCAL_MACHINESOFTWAREMicrosoftUpdatesWindows 2000SP5KB
“HKEY_LOCAL_MACHINESOFTWAREMicrosoftUpdatesWindows XPSP2KB
“HKEY_LOCAL_MACHINESOFTWAREMicrosoftUpdatesWindow Server 2003SP1KB
禁用端口防病毒
“沖擊波”病毒是利用系統的135、137、138、139、445、593端口,以及UDP端口69(TFTP))和TCP端口4444入侵系統的,只要禁用了這些端口就能有效地防範此類病毒。
1.手工設定
手工禁用端口的方法如下(以Windows 2000爲例):
打開“控制面板”,輕按兩下“網絡連接”,右擊“區網域連線”,選擇“屬性”,在“區網域連線屬性”視窗中,選擇“Internet”協定,點擊“高級”按鈕,然後在“高級TCP/IP設定”視窗中選擇“選項”選項卡,輕按兩下“TCP/IP篩選”即可進入設定視窗。選擇“只允許”,則用戶只能使用設定的端口,這樣就可以達到禁用危險端口的目的。一般而言,如果我們的計算機只是工作站而不是伺服器,就可以只開放如下端口:TCP:80,UDP:6,IP協定:17。
提示:不同的應用程式可能會要求使用系統不同的端口,比如FTP軟體需要用到TCP21端口等,請按照各程式的說明檔案進行相應的設定。
2.使用防火牆軟體
對普通用戶而言,手工設定可能會比較困難,筆者建議使用專門的防火牆軟體,如Norton Internet Security、金山網镖、瑞星個人防火牆、天網防火牆個人版等。
啓用Internet連接防火牆
對于使用 Windows XP或Windows Server 2003的用戶來說,系統內置的Internet連接防火牆就能有效地阻止來自Internet的入站RPC通信信息,從而免受此類病毒的影響。操作方法爲:進入“開始→控制面板”,輕按兩下“網絡連接”,右擊“區網域連線”,選擇“屬性”,在“屬性”視窗中點擊“高級”按鈕,就可以看到“Internet 連接防火牆”,勾選“通過限制或阻止來自Internet的對此計算機的訪問業保護我的計算機和網絡”即可。
禁用DCOM防病毒
DCOM是一種能夠使軟體組件通過網絡直接進行通信的協定。如果一台計算機是網絡的一部分,則該計算機上的COM對象將能夠通過DCOM網絡協定與另一台計算機上的COM對象進行通信。通過禁用DCOM,可以幫助計算機防範“沖擊波”,具體操作方法如下:
在“開始→運行”中輸入“Dcomcnfg.exe”,打開“組件服務”視窗;單擊“控制台根節點”下的“組件服務”,再打開“計算機”子檔案夾;然後右擊“我的電腦”,選擇“屬性”(對于本地計算機),或者右擊“計算機”檔案夾,選擇“新建→計算機”,輸入計算機名稱,再右擊該計算機名稱,然後選擇“屬性”(對于遠程計算機);然後選擇“預設屬性”選項卡,取消“在這台計算機上啓用分布式COM”複選框上的鈎即可。
提示:禁用DCOM會阻斷該計算機上的對象與其他計算機上的對象之間的所有通信,請慎重選擇。
幾點注意:
1.安裝專業的防火牆和防病毒軟體,並激活“實時防護”功能,並且經常更新病毒庫;
2.激活系統的自動更新功能,及時下載安裝最新的安全補丁,未雨綢缪;
3.優化與系統安全相關的參數,修改部分預設值,關閉或刪除系統中不需要的服務;
4.養成良好的網絡安全觀念,不訪問不健康網站,不隨意打開來曆不明的郵件及附件,不要執行從Internet下載的未經殺毒處理的軟體;
5.盡量使用複雜的密碼,提高計算機的安全系數;
6.發現病毒時,應該迅速斷開網絡連接,隔離受感染的計算機。