一、冲击波(Worm.Blaster)病毒档案
警惕程度:★★★★
发作时间:随机病毒
类型:蠕虫病毒
传播途径:网络/RPC漏洞
依赖系统: WINDOWS 2000/XP
病毒介绍:
该病毒于8月12日被全球反病毒监测网截获。病毒运行时会不停地利用IP扫描技术寻找网络上系统为Win2K或XP的计算机,找到后就利用DCOM RPC缓冲区漏洞攻击该系统,一旦攻击成功,病毒体将会被传送到对方计算机中进行感染,使系统操作异常、不停重启、甚至导致系统崩溃。另外,该病毒还会对微软的一个升级网站进行拒绝服务攻击,导致该网站堵塞,使用户无法通过该网站升级系统。在8月16日以后,该病毒还会使被攻击的系统丧失更新该漏洞补丁的能力。
二、安装微软最新RPC补丁:
病毒通过微软的最新RPC漏洞进行传播,因此用户应先给系统打上RPC补丁,补丁地址:
Windows NT 4.0 Server
Windows NT 4.0 Terminal Server Edition
Windows 2000
Windows XP 32位版本
Windows Server 2003 32位版本
说明:可能个别盗版Windows XP系统不能正常打上补丁,Windows 2000操作系统必须升级SP2以上版本才可安装补丁。
微软官方相关参考
三、病毒的发现与清除:
1.病毒运行时会建立一个名为:“BILLY”的互斥量,使病毒自身不重复进入内存,并且病毒在内存中建立一个名为:“msblast”的进程,用户可以用任务管理器将该病毒进程终止。
2.病毒运行时会将自身复制为:%systemdir%\msblast.exe,用户可以手动删除该病毒文件。
注意:%Windir%是一个变量,它指的是操作系统安装目录,默认是:“C:\Windows”或:“c:\Winnt”,也可以是用户在安装操作系统时指定的其它目录。%systemdir%是一个变量,它指的是操作系统安装目录中的系统目录,默认是:“C:\Windows\system”或:“c:\Winnt\system32”。
3.病毒会修改注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项,在其中加入:"windows auto update"="msblast.exe",进行自启动,用户可以手工清除该键值。
4.病毒会用到135、4444、69等端口,用户可以使用防火墙软件将这些端口禁止或者使用“TCP/IP筛选”功能,禁止这些端口。
用户如果在自己的计算机中发现以上全部或部分现象,则很有可能中了冲击波(Worm.Blaster)病毒。为避免用户遭受损失,瑞星公司和金山公司都提供了最新查杀工具,用户可马上下载,查杀该病毒。
瑞星“冲击波(Worm.Blaster)”病毒专杀工具
金山“冲击波(Worm.Blaster)”病毒专杀工具
相关链接:
预防“冲击波”病毒 微软补丁&查杀工具下载
中毒后怎么办 教你一分钟内搞定“冲击波”
公安部提醒用户:“冲击波”病毒正在快速传播
“冲击波”病毒泛滥国内上千个局域网瘫痪
|