沖擊波和沖擊波克星感染主機(jī)問題解析

對(duì)網(wǎng)絡(luò)管理員來說，沖擊波克星的危害尤大，因?yàn)槊颗_(tái)中毒機(jī)器每秒發(fā)出上千個(gè)ICMP包，對(duì)接入/匯聚交換機(jī)來說很容易導(dǎo)致交換機(jī)被堵塞死。不幸的是，筆者所在學(xué)校的接入和匯聚交換機(jī)也被堵死了。

中病毒的用戶也因?yàn)榻粨Q機(jī)的堵塞無法連接到指定內(nèi)部的網(wǎng)站下載補(bǔ)丁和專殺文件，因此只有使用存儲(chǔ)設(shè)備copy的方式來解決。XP/2003系統(tǒng)很方便，專殺工具和RPC補(bǔ)丁一張軟盤就能copy給用戶，但在Win2000系統(tǒng)那里遇到了麻煩--RPC漏洞補(bǔ)丁需要在已安裝了SP2以上的Win2000中才可以運(yùn)行，而眾多用戶由于一直以來不夠重視補(bǔ)丁升級(jí)等計(jì)算機(jī)維護(hù)工作，沒有在系統(tǒng)上打上SP2以上的Patch包，由于SP2以及后來的SP3、SP4每個(gè)都在100余M以上，無法通過軟盤Copy,而學(xué)�？偣灿�1000多個(gè)分散的節(jié)點(diǎn)使用了Win2000操作系統(tǒng)，靠網(wǎng)絡(luò)中心的人力和物力購買大量USB閃盤或者刻錄成光盤依次安裝也不太現(xiàn)實(shí)。網(wǎng)絡(luò)中心的電話鈴聲不斷響起，用戶的求援幫助不斷增加，該如何辦？

解鈴還需系鈴人，還是先研究一下病毒的傳播特點(diǎn)以及各專殺工具/防御工具的實(shí)現(xiàn)原理吧，下面是一段關(guān)于手工清除病毒的做法：

1、安裝好RPC補(bǔ)丁。

2、點(diǎn)擊左下角的"開始"菜單，選擇"運(yùn)行"，在其中鍵入"cmd"，點(diǎn)擊"確定"。這樣就啟動(dòng)了命令提示符。在其中鍵入：

net stop RpcPatch  
 
net stop RpcTftpd 

3、刪除%systemroot%\system32\wins\svchost.exe和%systemroot%\system32\wins\dllhost.exe。

4、點(diǎn)擊左下角的"開始"菜單，選擇"運(yùn)行"，在其中鍵入"regedit"，點(diǎn)擊"確定"。這樣就啟動(dòng)注冊(cè)表編輯器。在注冊(cè)表中刪除鍵：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcPatch  
 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcTftpd  
 
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcTftpd  
 
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcPatch 

5、重新啟動(dòng)系統(tǒng)。

按照以上的方案就可以殺掉沖擊波克星了，但由于涉及到注冊(cè)表/命令行的操作，對(duì)我們業(yè)內(nèi)人員來說容易，而校內(nèi)大部分用戶是教師和行政人員，操作起來難度太大，大多用戶使用文件都只會(huì)雙擊啟動(dòng)。那么，有辦法我們依照以上的原理自己寫個(gè)小工具，想辦法讓用戶通過雙擊就能應(yīng)用了么？仔細(xì)分析一下，以上步驟中的第2、3步驟，通過bat文件就能很容易地做到；而第4點(diǎn)，通過一個(gè)reg文件也能夠做到，難在第一點(diǎn)：如我們剛才分析過的一樣，如何給Win2000用戶打上SP2補(bǔ)丁是一個(gè)大問題呢。

時(shí)間不斷流逝著，我不斷思考。根據(jù)我們的2、3步驟，其實(shí)我們已經(jīng)把用戶機(jī)器上的沖擊波克星病毒成功殺除了。打補(bǔ)丁的作用是為了避免用戶在連上網(wǎng)后遭遇再次感染--既然不能打上補(bǔ)丁，那么能否研究一下病毒的感染原理，通過配置windows自身的工具來實(shí)現(xiàn)對(duì)病毒判斷的欺騙，讓其無法進(jìn)入呢？？試試看！

研究一下綠盟的緊急公告中的內(nèi)容，發(fā)現(xiàn)有以下一段話：

蠕蟲病毒選擇目標(biāo)IP地址的時(shí)候會(huì)首先選擇受感染系統(tǒng)所在子網(wǎng)的IP，然后再按照一定算法隨機(jī)在互連網(wǎng)上用ICMP掃描的方法尋找存活主機(jī)，發(fā)送的ICMP報(bào)文類型為echo，總大小為92字節(jié)，數(shù)據(jù)區(qū)為64字節(jié)的"0xAA"。由于發(fā)送的ICMP流量很大，可導(dǎo)致網(wǎng)絡(luò)阻塞。這是蠕蟲的主要危害。

明白了，病毒的感染方式是這樣的：首先Ping所在子網(wǎng)的其他機(jī)器，如果有響應(yīng)（這招跟不少嗅探軟件和RedCode等病毒相似，為的是跳過沒啟動(dòng)的機(jī)器以加快感染效率）則通過漏洞的端口進(jìn)行文件上傳并執(zhí)行。

看來解決感染的方式有兩個(gè)：1.關(guān)閉機(jī)器的ICMP響應(yīng)（讓用戶的機(jī)器無法被Ping到，則該病毒就會(huì)認(rèn)為該機(jī)沒啟動(dòng)而不進(jìn)行感染）；2.將機(jī)器上的tcp/udp 135,137,138,139全部關(guān)閉(漏洞所在端口和上傳文件端口)；

通過對(duì)Windows2000的了解，我知道在本地安全策略->IP安全策略中可以成功實(shí)現(xiàn)對(duì)以上兩種解決方案的支持。而且安全策略的配置文件同樣是放在了注冊(cè)表內(nèi)，可以生成reg格式文件，讓用戶雙擊倒入的方式進(jìn)行安裝。恩，方法已經(jīng)找到了。那么選擇哪一個(gè)方法呢？讓我們來考慮一下利弊吧。

1. 關(guān)閉機(jī)器的ICMP響應(yīng)：

在IP安全策略中的支持很簡單，添加一個(gè)filter和一個(gè)屬性設(shè)置；不對(duì)網(wǎng)絡(luò)共享及其他服務(wù)構(gòu)成沖突；缺點(diǎn)在于他人無法通過ping命令確定該機(jī)器是否連網(wǎng)正常；而且在開機(jī)的瞬間，網(wǎng)絡(luò)是先連接再實(shí)施策略，根據(jù)我的實(shí)驗(yàn)大概有10個(gè)icmp包能被響應(yīng)。

2. 將機(jī)器上的tcp/udp 135,137,138,139全部關(guān)閉：

優(yōu)點(diǎn)在于是從病毒的傳播端口上防止病毒進(jìn)入，防范安全性更高，且如果產(chǎn)生利用該漏洞的其他變種也能防御；缺點(diǎn)是會(huì)影響到網(wǎng)絡(luò)鄰居文件共享，設(shè)置起來比較麻煩。

綜合考慮后，決定采用方案一，理由如下：不論方法1、2都是應(yīng)急措施，并不是一勞永逸，目的是為了讓W(xué)in2000的用戶能夠在殺毒后不再被感染和不成為病毒源，讓用戶能夠連上網(wǎng)絡(luò)可以盡快下載安裝校內(nèi)FTP上的SP4和RPC漏洞補(bǔ)丁，以根治此漏洞。針對(duì)方案一的策略應(yīng)用中一開始icmp有10個(gè)包能被反饋的特性情況，可以通過對(duì)操作步驟的合理安排，巧妙回避，令用戶感覺不到（對(duì)用戶透明）。

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]