處理衝擊波
病毒中文名:衝擊波(包括很多變種)
病毒類型:蠕蟲病毒
***對象:Windows NT 4.0,Windows 2000,Windows XP,Windows Server 2003等
傳播途徑:“衝擊波”是一種利用Windows系統的RPC(遠程過程調用,是一種通信協議,程序可使用該協議向網絡中的另一臺計算機上的程序請求服務)漏洞進行傳播、隨機發作、破壞力強的蠕蟲病毒。它不需要通過電子郵件(或附件)來傳播,更隱蔽,更不易察覺。它使用IP掃描技術來查找網絡上操作系統爲Windows 2000/XP/2003的計算機,一旦找到有漏洞的計算機,它就會利用DCOM(分佈式對象模型,一種協議,能夠使軟件組件通過網絡直接進行通信)RPC緩衝區漏洞植入病毒體以控制和***該系統。
中毒症狀:
1.系統資源緊張,應用程序運行速度異常;
2.網絡速度減慢,“DNS”和“ⅡS”服務遭到非法拒絕,用戶不能正常瀏覽網頁或收發電子郵件;
3.不能進行復制、粘貼操作;
4.Word、Excel、PowerPoint等軟件無法正常運行;
5.系統無故重啓,或在彈出“系統關機”警告提示後自動重啓等等。
應急辦法:
如果不小心感染病毒,可以使用如下步驟進行查殺:
1.關閉“系統關機”提示框
在出現關機提示時,在“開始→運行”中輸入“shutdown -a”,即可取消“系統關機”提示框,該方法確保用戶有足夠的時間下載補丁。
2.下載針對“衝擊波”的補丁
Windows 2000簡體中文版補丁下載地址:http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&familyid=c8b8a846-f541-4c15-8c9f-220354449117
Windows XP 簡體中文版(32位)補丁下載地址:
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&familyid=2354406c-c5b6-44ac-9532-3de40f69c074
Windows Server 2003 中文版(32位))補丁下載地址:
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&familyid=f8e0ff3a-9f4c-4061-9009-3a212458e92e
在下載補丁時,要注意不同的操作系統、不同的版本均有不同的補丁,不可混淆。安裝補丁時,盜版Windows XP系統可能不能正常安裝,Windows 2000操作系統則必須升級SP2以上版本纔可安裝。
Windows2000 Service Pack 4簡體中文版下載地址:http://download.microsoft.com/download/4/1/4/4140e2e0-0ad9-4438-ac52-da0e0429c0e6/w2ksp4_cn.exe
3.下載專殺工具
瑞星“衝擊波(Worm.Blaster))”病毒專殺工具下載地址:http://download.rising.com.cn/zsgj/ravzerg.exe
金山“衝擊波(Worm.Blaster))”病毒專殺工具下載地址:http://www.duba.net/download/othertools/duba_sdbot.exe
4.脫機殺毒
斷開網絡連接,然後運行專殺工具,這些工具體積小巧,操作簡單,按照提示操作即可。
手工清除:
如果想體驗一下手工殺毒的樂趣,可以按以下步驟操作:
1.中止進程
按“Ctrl+Alt+Del”組合鍵,在“Windows 任務管理器”中選擇“進程”選項卡,查找“msblast.exe”(或“teekids.exe”、“penis32.exe”),選中它,然後,點擊下方的“結束進程”按鈕。
提示:如不能運行“Windows 任務管理器”,可以在“開始→運行”中輸入“cmd”打開“命令提示符”窗口,輸入以下命令“taskkill.exe /im msblast.exe”(或“taskkill.exe /im teekids.exe”、“taskkill.exe /im penis32.exe”)。
2.刪除病毒體
依次點擊“開始→搜索”,選擇“所有文件和文件夾”選項,輸入關鍵詞“msblast.exe”,將查找目標定在操作系統所在分區。搜索完畢後,在“搜索結果”窗口將所找到的文件徹底刪除。然後使用相同的方法,查找並刪除“teekids.exe“和“penis32.exe”文件。
提示:在Windows XP系統中,應首先禁用“系統還原”功能,方法是:右擊“我的電腦”,選擇“屬性”,在“系統屬性”中選擇“系統還原”選項卡,勾選“在所有驅動器上關閉系統還原”即可。
如不能運行“搜索”,可以在“開始→運行”中輸入“cmd”打開“命令提示符” 窗口,輸入以下命令:
“del 系統盤符\winnt\system32\msblast.exe”(Windows 2000系統)或“del系統盤符\windows\system\msblast.exe”(Windows XP系統)
3.修改註冊表
點擊“開始→運行”,輸入“regedit”打開“註冊表編輯器”,依次找到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”,刪除“windows auto update=msblast.exe”(病毒變種可能會有不同的顯示內容)。
4.重新啓動計算機
重啓計算機後,“衝擊波”病毒就已經從系統中完全清除了。
防 御:
可以通過系統升級、優化網絡設置和使用第三方軟件的方法來增強系統的安全性能。
系統升級防病毒
安裝針對“衝擊波”的補丁後,怎樣確認補丁已經正確安裝呢?我們可以通過查看註冊表的方法來確認,方法如下:在“開始→運行”中輸入“regedit”,打開“註冊表編輯器”,查看相應的註冊表信息:
“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB823980”(Windows 2000系統)
“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB823980”(Windows XP系統)
“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Window Server 2003\SP1\KB823980”(Windows Server 2003系統)
禁用端口防病毒
“衝擊波”病毒是利用系統的135、137、138、139、445、593端口,以及UDP端口69(TFTP))和TCP端口4444***系統的,只要禁用了這些端口就能有效地防範此類病毒。
1.手工設置
手工禁用端口的方法如下(以Windows 2000爲例):
打開“控制面板”,雙擊“網絡連接”,右擊“本地連接”,選擇“屬性”,在“本地連接屬性”窗口中,選擇“Internet”協議,點擊“高級”按鈕,然後在“高級TCP/IP設置”窗口中選擇“選項”選項卡,雙擊“TCP/IP篩選”即可進入設置窗口。選擇“只允許”,則用戶只能使用設定的端口,這樣就可以達到禁用危險端口的目的。一般而言,如果我們的計算機只是工作站而不是服務器,就可以只開放如下端口:TCP:80,UDP:6,IP協議:17。
提示:不同的應用程序可能會要求使用系統不同的端口,比如FTP軟件需要用到TCP21端口等,請按照各程序的說明文件進行相應的設置。
2.使用防火牆軟件
對普通用戶而言,手工設置可能會比較困難,筆者建議使用專門的防火牆軟件,如Norton Internet Security、金山網鏢、瑞星個人防火牆、天網防火牆個人版等。
啓用Internet連接防火牆
對於使用 Windows XP或Windows Server 2003的用戶來說,系統內置的Internet連接防火牆就能有效地阻止來自Internet的入站RPC通信信息,從而免受此類病毒的影響。操作方法爲:進入“開始→控制面板”,雙擊“網絡連接”,右擊“本地連接”,選擇“屬性”,在“屬性”窗口中點擊“高級”按鈕,就可以看到“Internet 連接防火牆”,勾選“通過限制或阻止來自Internet的對此計算機的訪問業保護我的計算機和網絡”即可。
禁用DCOM防病毒
DCOM是一種能夠使軟件組件通過網絡直接進行通信的協議。如果一臺計算機是網絡的一部分,則該計算機上的COM對象將能夠通過DCOM網絡協議與另一臺計算機上的COM對象進行通信。通過禁用DCOM,可以幫助計算機防範“衝擊波”,具體操作方法如下:
在“開始→運行”中輸入“Dcomcnfg.exe”,打開“組件服務”窗口;單擊“控制檯根節點”下的“組件服務”,再打開“計算機”子文件夾;然後右擊“我的電腦”,選擇“屬性”(對於本地計算機),或者右擊“計算機”文件夾,選擇“新建→計算機”,輸入計算機名稱,再右擊該計算機名稱,然後選擇“屬性”(對於遠程計算機);然後選擇“默認屬性”選項卡,取消“在這臺計算機上啓用分佈式COM”複選框上的鉤即可。
提示:禁用DCOM會阻斷該計算機上的對象與其他計算機上的對象之間的所有通信,請慎重選擇。
幾點注意:
1.安裝專業的防火牆和防病毒軟件,並激活“實時防護”功能,並且經常更新病毒庫;
2.激活系統的自動更新功能,及時下載安裝最新的安全補丁,未雨綢繆;
3.優化與系統安全相關的參數,修改部分缺省值,關閉或刪除系統中不需要的服務;
4.養成良好的網絡安全觀念,不訪問不健康網站,不隨意打開來歷不明的郵件及附件,不要執行從Internet下載的未經殺毒處理的軟件;
5.儘量使用複雜的密碼,提高計算機的安全係數;
6.發現病毒時,應該迅速斷開網絡連接,隔離受感染的計算機。