附3：冲击波预防和清除

1、“冲击波”病毒的预防和清除计算机感染该病毒后会导致系统资源被大量占用，有时会弹出RPC服务终止的对话框，并且系统反复重启, 不能收发邮件、不能正常复制文件、无法正常浏览网页，复制粘贴等操作受到严重影响。 1一、冲击波的症状 冲击波是一种利用NT内核系统的R.P.C服务的漏洞对系统进行攻击的蠕虫病毒，事实上，在漏洞出现的时候就陆陆续续的出现了各种针对此漏洞的多种蠕虫病毒，早期的这些蠕虫病毒只是攻击此漏洞，造成远端系统的崩溃，而“冲击波”的出现将漏洞的危害发挥到极致-它利用漏洞进行快速传播。 2中了冲击波的电脑的症状： 1、莫名其妙地死机或重新启动计算机； 2、IE浏览器不能正常地打开链接； 3、

2、不能复制粘贴； 4、有时出现应用程序，比如Word异常； 5、网络变慢； 6、最重要的是，在任务管理器里有一个叫msblast.exe的进程在运行！ 3二、病毒详细情况 1. 病毒运行时会将自身复制到window目录下，并命名为： msblast.exe。2. 病毒运行时会在系统中建立一个名为：“BILLY”的互斥量，目的是病毒只保证在内存中有一份病毒体，为了避免用户发现。3. 病毒运行时会在内存中建立一个名为：“msblast.exe”的进程，该进程就是活的病毒体。 4. 病毒会修改注册表，在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV

3、ersionRun中添加以下键值：windows auto update=msblast.exe，以便每次启动系统时，病毒都会运行。4二、病毒详细情况 5. 病毒体内隐藏有一段文本信息：I just want to say LOVE YOU SAN!billy gates why do you make this possible ? Stop making money and fix your software!6. 病毒会以20秒为间隔，每20秒检测一次网络状态，当网络可用时，病毒会在本地的UDP/69端口上建立一个tftp服务器，并启动一个攻击传播线程，不断地随机生成攻击地址，进行攻击，

4、另外该病毒攻击时，会首先搜索子网的IP地址，以便就近攻击。7. 当病毒扫描到计算机后，就会向目标计算机的TCP/135端口发送攻击数据。5二、病毒详细情况8. 当病毒攻击成功后，便会监听目标计算机的TCP/4444端口作为后门，并绑定cmd.exe。然后蠕虫会连接到这个端口，发送tftp命令，回连到发起进攻的主机，将msblast.exe传到目标计算机上并运行。9. 当病毒攻击失败时，可能会造成没有打补丁的Windows系统RPC服务崩溃，Windows XP系统可能会自动重启计算机。该蠕虫不能成功攻击Windows Server2003，但是可以造成Windows Server2003系统的

5、RPC服务崩溃，默认情况下是系统反复重启。10. 病毒检测到当前系统月份是8月之后或者日期是15日之后，就会向微软的更新站点发动拒绝服务攻击，使微软网站的更新站点无法为用户提供服务。 6三、防治办法 （一）立即给系统安装相应的RPC漏洞补丁程序。如果您的操作系统是WINDOWS 2000、XP或者是WINDOWS 2003的系统，可连接互联网，利用系统本身的自动更新功能升级。用户也可以先进入微软网站，下载并安装相应的补丁程序。7补丁的具体下载地址：Windows NT 4.0 Server：Windows NT 4.0 Terminal Server Edition ：Windows 2000

6、： Windows XP 32 bit Edition：8补丁的具体下载地址：Windows XP 64 bit Edition：Windows Server 2003 32 bit Edition：Windows Server 2003 64 bit Edition：9（二）购买或升级杀毒软件目前，国内外的杀毒软件厂商已提供查杀此病毒的升级程序，能迅速查杀“冲击波”病毒，用户可购买或升级杀毒软件到最新版本，实时监测并查杀该病毒。另外，很多杀毒软件厂商开发了专门工具查杀“冲击波”病毒，用户可登陆这些厂商的互联网站免费获得这些工具。10（三）通过设置防火墙防范对于配备有防火墙的用户，可在防火墙上

7、添加过滤规则，关闭对TCP135端口的访问，阻止病毒的攻击和传播。如果机器已经被病毒感染，可以立即使用杀毒软件清除，或上网下载专杀工具清除病毒，然后下载安装补丁程序。11四、排除方法方法一：1、运行services.msc（或打开“管理工具”中的“服务”），双击“Remote Procedure Call (RPC) ”服务，在“故障恢复”（或“恢复”）中将“第一次失败”“第二次失败”“后续失败”的操作都改为“不操作”；该操作使机器不会不断重启。2、下载安装相应的补丁程序；3、下载并运行“RPC蠕虫”病毒专杀工具对本机病毒进行查杀；4、重新启动计算机；12办法二：进入安全模式，手工清除病毒启动系统后进入安全模式，然后搜索C盘（WINDOWS或WINNT目录所在的磁盘），查找msblast.exe文件，找到后直接将该文件删除，然后再次正常启动计算机即可。 13办法三：使用启动盘，在DOS环境下清除病毒1、用DOS系统启动盘启动进入DOS环境下，进入操作系统目录如C:windows (或c:winnt)2、查找