處理沖擊波

處理沖擊波

　　病毒中文名：沖擊波(包括很多變種)
　　病毒類型：蠕蟲(chóng)病毒
　　攻擊對(duì)象：Windows NT 4.0，Windows 2000，Windows XP，Windows Server 2003等
　　傳播途徑：“沖擊波”是一種利用Windows系統(tǒng)的RPC(遠(yuǎn)程過(guò)程調(diào)用，是一種通信協(xié)議，程序可使用該協(xié)議向網(wǎng)絡(luò)中的另一臺(tái)計(jì)算機(jī)上的程序請(qǐng)求服務(wù))漏洞進(jìn)行傳播、隨機(jī)發(fā)作、破壞力強(qiáng)的蠕蟲(chóng)病毒。它不需要通過(guò)電子郵件(或附件)來(lái)傳播，更隱蔽，更不易察覺(jué)。它使用IP掃描技術(shù)來(lái)查找網(wǎng)絡(luò)上操作系統(tǒng)為Windows 2000/XP/2003的計(jì)算機(jī)，一旦找到有漏洞的計(jì)算機(jī)，它就會(huì)利用DCOM(分布式對(duì)象模型，一種協(xié)議，能夠使軟件組件通過(guò)網(wǎng)絡(luò)直接進(jìn)行通信)RPC緩沖區(qū)漏洞植入病毒體以控制和攻擊該系統(tǒng)。
　　中毒癥狀：
　　1.系統(tǒng)資源緊張，應(yīng)用程序運(yùn)行速度異常；
　　2.網(wǎng)絡(luò)速度減慢，“DNS”和“ⅡS”服務(wù)遭到非法拒絕，用戶不能正常瀏覽網(wǎng)頁(yè)或收發(fā)電子郵件；
　　3.不能進(jìn)行復(fù)制、粘貼操作；
　　4.Word、Excel、PowerPoint等軟件無(wú)法正常運(yùn)行；
　　5.系統(tǒng)無(wú)故重啟，或在彈出“系統(tǒng)關(guān)機(jī)”警告提示后自動(dòng)重啟等等。

　　應(yīng)急辦法：
　　如果不小心感染病毒，可以使用如下步驟進(jìn)行查殺：
　　1.關(guān)閉“系統(tǒng)關(guān)機(jī)”提示框
　　在出現(xiàn)關(guān)機(jī)提示時(shí)，在“開(kāi)始→運(yùn)行”中輸入“shutdown -a”，即可取消“系統(tǒng)關(guān)機(jī)”提示框，該方法確保用戶有足夠的時(shí)間下載補(bǔ)丁。
　　2.下載針對(duì)“沖擊波”的補(bǔ)丁
　　Windows 2000簡(jiǎn)體中文版補(bǔ)丁下載地址：http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&familyid=c8b8a846-f541-4c15-8c9f-220354449117
　　Windows XP 簡(jiǎn)體中文版(32位)補(bǔ)丁下載地址：
　　http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&familyid=2354406c-c5b6-44ac-9532-3de40f69c074
　　Windows Server 2003 中文版(32位))補(bǔ)丁下載地址：
　　http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&familyid=f8e0ff3a-9f4c-4061-9009-3a212458e92e
　　在下載補(bǔ)丁時(shí)，要注意不同的操作系統(tǒng)、不同的版本均有不同的補(bǔ)丁，不可混淆。安裝補(bǔ)丁時(shí)，盜版Windows XP系統(tǒng)可能不能正常安裝，Windows 2000操作系統(tǒng)則必須升級(jí)SP2以上版本才可安裝。
　　Windows2000 Service Pack 4簡(jiǎn)體中文版下載地址：http://download.microsoft.com/download/4/1/4/4140e2e0-0ad9-4438-ac52-da0e0429c0e6/w2ksp4_cn.exe
　　3.下載專殺工具
　　瑞星“沖擊波(Worm.Blaster))”病毒專殺工具下載地址：http://download.rising.com.cn/zsgj/ravzerg.exe
　　金山“沖擊波(Worm.Blaster))”病毒專殺工具下載地址：http://www.duba.net/download/othertools/duba_sdbot.exe
　　4.脫機(jī)殺毒
　　斷開(kāi)網(wǎng)絡(luò)連接，然后運(yùn)行專殺工具，這些工具體積小巧，操作簡(jiǎn)單，按照提示操作即可。
　　手工清除：
　　如果想體驗(yàn)一下手工殺毒的樂(lè)趣，可以按以下步驟操作：
　　1.中止進(jìn)程
　　按“Ctrl+Alt+Del”組合鍵，在“Windows 任務(wù)管理器”中選擇“進(jìn)程”選項(xiàng)卡，查找“msblast.exe”(或“teekids.exe”、“penis32.exe”)，選中它，然后，點(diǎn)擊下方的“結(jié)束進(jìn)程”按鈕。
　　提示：如不能運(yùn)行“Windows 任務(wù)管理器”，可以在“開(kāi)始→運(yùn)行”中輸入“cmd”打開(kāi)“命令提示符”窗口，輸入以下命令“taskkill.exe /im msblast.exe”(或“taskkill.exe /im teekids.exe”、“taskkill.exe /im penis32.exe”)。
　　2.刪除病毒體
　　依次點(diǎn)擊“開(kāi)始→搜索”，選擇“所有文件和文件夾”選項(xiàng)，輸入關(guān)鍵詞“msblast.exe”，將查找目標(biāo)定在操作系統(tǒng)所在分區(qū)。搜索完畢后，在“搜索結(jié)果”窗口將所找到的文件徹底刪除。然后使用相同的方法，查找并刪除“teekids.exe“和“penis32.exe”文件。
　　提示：在Windows XP系統(tǒng)中，應(yīng)首先禁用“系統(tǒng)還原”功能，方法是：右擊“我的電腦”，選擇“屬性”，在“系統(tǒng)屬性”中選擇“系統(tǒng)還原”選項(xiàng)卡，勾選“在所有驅(qū)動(dòng)器上關(guān)閉系統(tǒng)還原”即可。
　　如不能運(yùn)行“搜索”，可以在“開(kāi)始→運(yùn)行”中輸入“cmd”打開(kāi)“命令提示符” 窗口，輸入以下命令：
　　“del 系統(tǒng)盤(pán)符\winnt\system32\msblast.exe”(Windows 2000系統(tǒng))或“del系統(tǒng)盤(pán)符\windows\system\msblast.exe”(Windows XP系統(tǒng))
　　3.修改注冊(cè)表
　　點(diǎn)擊“開(kāi)始→運(yùn)行”，輸入“regedit”打開(kāi)“注冊(cè)表編輯器”，依次找到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”，刪除“windows auto update=msblast.exe”(病毒變種可能會(huì)有不同的顯示內(nèi)容)。
　　4.重新啟動(dòng)計(jì)算機(jī)
　　重啟計(jì)算機(jī)后，“沖擊波”病毒就已經(jīng)從系統(tǒng)中完全清除了。
　　防 御：
　　可以通過(guò)系統(tǒng)升級(jí)、優(yōu)化網(wǎng)絡(luò)設(shè)置和使用第三方軟件的方法來(lái)增強(qiáng)系統(tǒng)的安全性能。
　　系統(tǒng)升級(jí)防病毒
　　安裝針對(duì)“沖擊波”的補(bǔ)丁后，怎樣確認(rèn)補(bǔ)丁已經(jīng)正確安裝呢？我們可以通過(guò)查看注冊(cè)表的方法來(lái)確認(rèn)，方法如下：在“開(kāi)始→運(yùn)行”中輸入“regedit”，打開(kāi)“注冊(cè)表編輯器”，查看相應(yīng)的注冊(cè)表信息：
　　“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB823980”(Windows 2000系統(tǒng))
　　“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB823980”(Windows XP系統(tǒng))
　　“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Window Server 2003\SP1\KB823980”(Windows Server 2003系統(tǒng))
　　禁用端口防病毒
　　“沖擊波”病毒是利用系統(tǒng)的135、137、138、139、445、593端口，以及UDP端口69(TFTP))和TCP端口4444入侵系統(tǒng)的，只要禁用了這些端口就能有效地防范此類病毒。
　　1.手工設(shè)置
　　手工禁用端口的方法如下(以Windows 2000為例)：
　　打開(kāi)“控制面板”，雙擊“網(wǎng)絡(luò)連接”，右擊“本地連接”，選擇“屬性”，在“本地連接屬性”窗口中，選擇“Internet”協(xié)議，點(diǎn)擊“高級(jí)”按鈕，然后在“高級(jí)TCP/IP設(shè)置”窗口中選擇“選項(xiàng)”選項(xiàng)卡，雙擊“TCP/IP篩選”即可進(jìn)入設(shè)置窗口。選擇“只允許”，則用戶只能使用設(shè)定的端口，這樣就可以達(dá)到禁用危險(xiǎn)端口的目的。一般而言，如果我們的計(jì)算機(jī)只是工作站而不是服務(wù)器，就可以只開(kāi)放如下端口：TCP：80，UDP：6，IP協(xié)議：17。
　　提示：不同的應(yīng)用程序可能會(huì)要求使用系統(tǒng)不同的端口，比如FTP軟件需要用到TCP21端口等，請(qǐng)按照各程序的說(shuō)明文件進(jìn)行相應(yīng)的設(shè)置。
　　2.使用防火墻軟件
　　對(duì)普通用戶而言，手工設(shè)置可能會(huì)比較困難，筆者建議使用專門(mén)的防火墻軟件，如Norton Internet Security、金山網(wǎng)鏢、瑞星個(gè)人防火墻、天網(wǎng)防火墻個(gè)人版等。
　　啟用Internet連接防火墻
　　對(duì)于使用 Windows XP或Windows Server 2003的用戶來(lái)說(shuō)，系統(tǒng)內(nèi)置的Internet連接防火墻就能有效地阻止來(lái)自Internet的入站RPC通信信息，從而免受此類病毒的影響。操作方法為：進(jìn)入“開(kāi)始→控制面板”，雙擊“網(wǎng)絡(luò)連接”，右擊“本地連接”，選擇“屬性”，在“屬性”窗口中點(diǎn)擊“高級(jí)”按鈕，就可以看到“Internet 連接防火墻”，勾選“通過(guò)限制或阻止來(lái)自Internet的對(duì)此計(jì)算機(jī)的訪問(wèn)業(yè)保護(hù)我的計(jì)算機(jī)和網(wǎng)絡(luò)”即可。
　　禁用DCOM防病毒
　　DCOM是一種能夠使軟件組件通過(guò)網(wǎng)絡(luò)直接進(jìn)行通信的協(xié)議。如果一臺(tái)計(jì)算機(jī)是網(wǎng)絡(luò)的一部分，則該計(jì)算機(jī)上的COM對(duì)象將能夠通過(guò)DCOM網(wǎng)絡(luò)協(xié)議與另一臺(tái)計(jì)算機(jī)上的COM對(duì)象進(jìn)行通信。通過(guò)禁用DCOM，可以幫助計(jì)算機(jī)防范“沖擊波”，具體操作方法如下：
　　在“開(kāi)始→運(yùn)行”中輸入“Dcomcnfg.exe”，打開(kāi)“組件服務(wù)”窗口；單擊“控制臺(tái)根節(jié)點(diǎn)”下的“組件服務(wù)”，再打開(kāi)“計(jì)算機(jī)”子文件夾；然后右擊“我的電腦”，選擇“屬性”(對(duì)于本地計(jì)算機(jī))，或者右擊“計(jì)算機(jī)”文件夾，選擇“新建→計(jì)算機(jī)”，輸入計(jì)算機(jī)名稱，再右擊該計(jì)算機(jī)名稱，然后選擇“屬性”(對(duì)于遠(yuǎn)程計(jì)算機(jī))；然后選擇“默認(rèn)屬性”選項(xiàng)卡，取消“在這臺(tái)計(jì)算機(jī)上啟用分布式COM”復(fù)選框上的鉤即可。
　　提示：禁用DCOM會(huì)阻斷該計(jì)算機(jī)上的對(duì)象與其他計(jì)算機(jī)上的對(duì)象之間的所有通信，請(qǐng)慎重選擇。
　　幾點(diǎn)注意：
　　1.安裝專業(yè)的防火墻和防病毒軟件，并激活“實(shí)時(shí)防護(hù)”功能，并且經(jīng)常更新病毒庫(kù)；
　　2.激活系統(tǒng)的自動(dòng)更新功能，及時(shí)下載安裝最新的安全補(bǔ)丁，未雨綢繆；
　　3.優(yōu)化與系統(tǒng)安全相關(guān)的參數(shù)，修改部分缺省值，關(guān)閉或刪除系統(tǒng)中不需要的服務(wù)；
　　4.養(yǎng)成良好的網(wǎng)絡(luò)安全觀念，不訪問(wèn)不健康網(wǎng)站，不隨意打開(kāi)來(lái)歷不明的郵件及附件，不要執(zhí)行從Internet下載的未經(jīng)殺毒處理的軟件；
　　5.盡量使用復(fù)雜的密碼，提高計(jì)算機(jī)的安全系數(shù)；
　　6.發(fā)現(xiàn)病毒時(shí)，應(yīng)該迅速斷開(kāi)網(wǎng)絡(luò)連接，隔離受感染的計(jì)算機(jī)。

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]