病毒類型：蠕蟲病毒

 

　　攻擊對象：Windows NT 4.0，Windows 2000，Windows XP，Windows Server 2003等

 

　　傳播途徑：“沖擊波”是一種利用Windows系統(tǒng)的RPC(遠程過程調(diào)用，是一種通信協(xié)議，程序可使用該協(xié)議向網(wǎng)絡(luò)中的另一臺計算機上的程序請求服務(wù))漏洞進行傳播、隨機發(fā)作、破壞力強的蠕蟲病毒。它不需要通過電子郵件(或附件)來傳播，更隱蔽，更不易察覺。它使用IP掃描技術(shù)來查找網(wǎng)絡(luò)上操作系統(tǒng)為Windows 2000/XP/2003的計算機，一旦找到有漏洞的計算機，它就會利用DCOM(分布式對象模型，一種協(xié)議，能夠使軟件組件通過網(wǎng)絡(luò)直接進行通信)RPC緩沖區(qū)漏洞植入病毒體以控制和攻擊該系統(tǒng)。

 

　　中毒癥狀：

 

　　1.系統(tǒng)資源緊張，應(yīng)用程序運行速度異常；

 

　　2.網(wǎng)絡(luò)速度減慢，“DNS”和“ⅡS”服務(wù)遭到非法拒絕，用戶不能正常瀏覽網(wǎng)頁或收發(fā)電子郵件；

 

　　3.不能進行復(fù)制、粘貼操作；

 

　　4.Word、Excel、PowerPoint等軟件無法正常運行；

 

　　5.系統(tǒng)無故重啟，或在彈出“系統(tǒng)關(guān)機”警告提示后自動重啟等等。

 

　　應(yīng)急辦法：

 

　　如果不小心感染病毒，可以使用如下步驟進行查殺：

 

　　1.關(guān)閉“系統(tǒng)關(guān)機”提示框

 

　　在出現(xiàn)關(guān)機提示時，在“開始→運行”中輸入“shutdown -a”，即可取消“系統(tǒng)關(guān)機”提示框，該方法確保用戶有足夠的時間下載補丁。

 

　　2.下載針對“沖擊波”的補丁

 

　　Windows 2000簡體中文版補丁下載地址：http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&familyid=c8b8a846-f541-4c15-8c9f-220354449117

 

　　Windows XP 簡體中文版(32位)補丁下載地址：

 

　　http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&familyid=2354406c-c5b6-44ac-9532-3de40f69c074

 

　　Windows Server 2003 中文版(32位))補丁下載地址：

 

　　http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&familyid=f8e0ff3a-9f4c-4061-9009-3a212458e92e

 

　　在下載補丁時，要注意不同的操作系統(tǒng)、不同的版本均有不同的補丁，不可混淆。安裝補丁時，盜版Windows XP系統(tǒng)可能不能正常安裝，Windows 2000操作系統(tǒng)則必須升級SP2以上版本才可安裝。

 

　　Windows2000 Service Pack 4簡體中文版下載地址：http://download.microsoft.com/download/4/1/4/4140e2e0-0ad9-4438-ac52-da0e0429c0e6/w2ksp4_cn.exe

 

　　3.下載專殺工具

 

　　瑞星“沖擊波(Worm.Blaster))”病毒專殺工具下載地址：http://download.rising.com.cn/zsgj/ravzerg.exe

 

　　金山“沖擊波(Worm.Blaster))”病毒專殺工具下載地址：http://www.duba.net/download/othertools/duba_sdbot.exe

 

　　4.脫機殺毒

 

　　斷開網(wǎng)絡(luò)連接，然后運行專殺工具，這些工具體積小巧，操作簡單，按照提示操作即可。

 

　　手工清除：

 

　　如果想體驗一下手工殺毒的樂趣，可以按以下步驟操作：

 

　　1.中止進程

 

　　按“Ctrl+Alt+Del”組合鍵，在“Windows 任務(wù)管理器”中選擇“進程”選項卡，查找“msblast.exe”(或“teekids.exe”、“penis32.exe”)，選中它，然后，點擊下方的“結(jié)束進程”按鈕。

 

　　提示：如不能運行“Windows 任務(wù)管理器”，可以在“開始→運行”中輸入“cmd”打開“命令提示符”窗口，輸入以下命令“taskkill.exe /im msblast.exe”(或“taskkill.exe /im teekids.exe”、“taskkill.exe /im penis32.exe”)。

 

　　2.刪除病毒體

 

　　依次點擊“開始→搜索”，選擇“所有文件和文件夾”選項，輸入關(guān)鍵詞“msblast.exe”，將查找目標定在操作系統(tǒng)所在分區(qū)。搜索完畢后，在“搜索結(jié)果”窗口將所找到的文件徹底刪除。然后使用相同的方法，查找并刪除“teekids.exe“和“penis32.exe”文件。

 

　　提示：在Windows XP系統(tǒng)中，應(yīng)首先禁用“系統(tǒng)還原”功能，方法是：右擊“我的電腦”，選擇“屬性”，在“系統(tǒng)屬性”中選擇“系統(tǒng)還原”選項卡，勾選“在所有驅(qū)動器上關(guān)閉系統(tǒng)還原”即可。

 

　　如不能運行“搜索”，可以在“開始→運行”中輸入“cmd”打開“命令提示符” 窗口，輸入以下命令：

 

　　“del 系統(tǒng)盤符\winnt\system32\msblast.exe”(Windows 2000系統(tǒng))或“del系統(tǒng)盤符\windows\system\msblast.exe”(Windows XP系統(tǒng))

 

　　3.修改注冊表

 

　　點擊“開始→運行”，輸入“regedit”打開“注冊表編輯器”，依次找到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”，刪除“windows auto update=msblast.exe”(病毒變種可能會有不同的顯示內(nèi)容)。

 

　　4.重新啟動計算機

 

　　重啟計算機后，“沖擊波”病毒就已經(jīng)從系統(tǒng)中完全清除了。

 

　　防 御：

 

　　可以通過系統(tǒng)升級、優(yōu)化網(wǎng)絡(luò)設(shè)置和使用第三方軟件的方法來增強系統(tǒng)的安全性能。

 

　　系統(tǒng)升級防病毒

 

　　安裝針對“沖擊波”的補丁后，怎樣確認補丁已經(jīng)正確安裝呢？我們可以通過查看注冊表的方法來確認，方法如下：在“開始→運行”中輸入“regedit”，打開“注冊表編輯器”，查看相應(yīng)的注冊表信息：

 

　　“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB823980”(Windows 2000系統(tǒng))

 

　　“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB823980”(Windows XP系統(tǒng))

 

　　“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Window Server 2003\SP1\KB823980”(Windows Server 2003系統(tǒng))

 

　　禁用端口防病毒

 

　　“沖擊波”病毒是利用系統(tǒng)的135、137、138、139、445、593端口，以及UDP端口69(TFTP))和TCP端口4444入侵系統(tǒng)的，只要禁用了這些端口就能有效地防范此類病毒。

 

　　1.手工設(shè)置

 

　　手工禁用端口的方法如下(以Windows 2000為例)：

 

　　打開“控制面板”，雙擊“網(wǎng)絡(luò)連接”，右擊“本地連接”，選擇“屬性”，在“本地連接屬性”窗口中，選擇“Internet”協(xié)議，點擊“高級”按鈕，然后在“高級TCP/IP設(shè)置”窗口中選擇“選項”選項卡，雙擊“TCP/IP篩選”即可進入設(shè)置窗口。選擇“只允許”，則用戶只能使用設(shè)定的端口，這樣就可以達到禁用危險端口的目的。一般而言，如果我們的計算機只是工作站而不是服務(wù)器，就可以只開放如下端口：TCP：80，UDP：6，IP協(xié)議：17。

 

　　提示：不同的應(yīng)用程序可能會要求使用系統(tǒng)不同的端口，比如FTP軟件需要用到TCP21端口等，請按照各程序的說明文件進行相應(yīng)的設(shè)置。

 

　　2.使用防火墻軟件

 

　　對普通用戶而言，手工設(shè)置可能會比較困難，筆者建議使用專門的防火墻軟件，如Norton Internet Security、金山網(wǎng)鏢、瑞星個人防火墻、天網(wǎng)防火墻個人版等。

 

　　啟用Internet連接防火墻

 

　　對于使用 Windows XP或Windows Server 2003的用戶來說，系統(tǒng)內(nèi)置的Internet連接防火墻就能有效地阻止來自Internet的入站RPC通信信息，從而免受此類病毒的影響。操作方法為：進入“開始→控制面板”，雙擊“網(wǎng)絡(luò)連接”，右擊“本地連接”，選擇“屬性”，在“屬性”窗口中點擊“高級”按鈕，就可以看到“Internet 連接防火墻”，勾選“通過限制或阻止來自Internet的對此計算機的訪問業(yè)保護我的計算機和網(wǎng)絡(luò)”即可。

 

　　禁用DCOM防病毒

 

　　DCOM是一種能夠使軟件組件通過網(wǎng)絡(luò)直接進行通信的協(xié)議。如果一臺計算機是網(wǎng)絡(luò)的一部分，則該計算機上的COM對象將能夠通過DCOM網(wǎng)絡(luò)協(xié)議與另一臺計算機上的COM對象進行通信。通過禁用DCOM，可以幫助計算機防范“沖擊波”，具體操作方法如下：

 

　　在“開始→運行”中輸入“Dcomcnfg.exe”，打開“組件服務(wù)”窗口；單擊“控制臺根節(jié)點”下的“組件服務(wù)”，再打開“計算機”子文件夾；然后右擊“我的電腦”，選擇“屬性”(對于本地計算機)，或者右擊“計算機”文件夾，選擇“新建→計算機”，輸入計算機名稱，再右擊該計算機名稱，然后選擇“屬性”(對于遠程計算機)；然后選擇“默認屬性”選項卡，取消“在這臺計算機上啟用分布式COM”復(fù)選框上的鉤即可。

 

　　提示：禁用DCOM會阻斷該計算機上的對象與其他計算機上的對象之間的所有通信，請慎重選擇。

 

　　幾點注意：

 

　　1.安裝專業(yè)的防火墻和防病毒軟件，并激活“實時防護”功能，并且經(jīng)常更新病毒庫；

 

　　2.激活系統(tǒng)的自動更新功能，及時下載安裝最新的安全補丁，未雨綢繆；

 

　　3.優(yōu)化與系統(tǒng)安全相關(guān)的參數(shù)，修改部分缺省值，關(guān)閉或刪除系統(tǒng)中不需要的服務(wù)；

 

　　4.養(yǎng)成良好的網(wǎng)絡(luò)安全觀念，不訪問不健康網(wǎng)站，不隨意打開來歷不明的郵件及附件，不要執(zhí)行從Internet下載的未經(jīng)殺毒處理的軟件；

 

　　5.盡量使用復(fù)雜的密碼，提高計算機的安全系數(shù)；

 

　　6.發(fā)現(xiàn)病毒時，應(yīng)該迅速斷開網(wǎng)絡(luò)連接，隔離受感染的計算機。