沖擊波病毒發(fā)作現(xiàn)象:
沖擊波(Worm.Blaster)病毒是利用微軟公司在7月21日公布的RPC漏洞進(jìn)行傳播的,只要是計(jì)算機(jī)上有RPC服務(wù)并且沒有打安全補(bǔ)丁的計(jì)算機(jī)都存在有RPC漏洞,具體涉及的操作系統(tǒng)是:Windows2000、XP、Server 2003。
該病毒感染系統(tǒng)后,會使計(jì)算機(jī)產(chǎn)生下列現(xiàn)象:系統(tǒng)資源被大量占用,有時(shí)會彈出RPC服務(wù)終止的對話框,并且系統(tǒng)反復(fù)重啟,不能收發(fā)郵件、不能正常復(fù)制文件、無法正常瀏覽網(wǎng)頁,復(fù)制粘貼等操作受到嚴(yán)重影響,DNS和IIS服務(wù)遭到非法拒絕等。下面是彈出RPC服務(wù)終止的對話框的現(xiàn)象:
電腦開機(jī)是顯示還有60秒就關(guān)機(jī)就是沖擊波病毒的具體表現(xiàn)和危害。
沖擊波病毒特點(diǎn)和中毒表現(xiàn)說明:
1、病毒運(yùn)行時(shí)會將自身復(fù)制到window目錄下,并命名為: msblast.exe。
2、病毒運(yùn)行時(shí)會在系統(tǒng)中建立一個(gè)名為:“BILLY”的互斥量,目的是病毒只保證在內(nèi)存中有一份病毒體,為了避免用戶發(fā)現(xiàn)。
3、病毒運(yùn)行時(shí)會在內(nèi)存中建立一個(gè)名為:“msblast.exe”的進(jìn)程,該進(jìn)程就是活的病毒體。
4、病毒會修改注冊表,在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中添加以下鍵值:“windows auto update”=“msblast.exe”,以便每次啟動(dòng)系統(tǒng)時(shí),病毒都會運(yùn)行。
5、病毒體內(nèi)隱藏有一段文本信息:
I just want to say LOVE YOU SAN??!
billy gates why do you make this possible ? Stop making money and fix your software??!
6、病毒會以20秒為間隔,每20秒檢測一次網(wǎng)絡(luò)狀態(tài),當(dāng)網(wǎng)絡(luò)可用時(shí),病毒會在本地的UDP/69端口上建立一個(gè)tftp服務(wù)器,并啟動(dòng)一個(gè)攻擊傳播線程,不斷地隨機(jī)生成攻擊地址,進(jìn)行攻擊,另外該病毒攻擊時(shí),會首先搜索子網(wǎng)的IP地址,以便就近攻擊。
7、當(dāng)病毒掃描到計(jì)算機(jī)后,就會向目標(biāo)計(jì)算機(jī)的TCP/135端口發(fā)送攻擊數(shù)據(jù)。
8、當(dāng)病毒攻擊成功后,便會監(jiān)聽目標(biāo)計(jì)算機(jī)的TCP/4444端口作為后門,并綁定cmd.exe。然后蠕蟲會連接到這個(gè)端口,發(fā)送tftp命令,回連到發(fā)起進(jìn)攻的主機(jī),將msblast.exe傳到目標(biāo)計(jì)算機(jī)上并運(yùn)行。
9、當(dāng)病毒攻擊失敗時(shí),可能會造成沒有打補(bǔ)丁的Windows系統(tǒng)RPC服務(wù)崩潰,Windows XP系統(tǒng)可能會自動(dòng)重啟計(jì)算機(jī)。該蠕蟲不能成功攻擊Windows Server2003,但是可以造成Windows Server2003系統(tǒng)的RPC服務(wù)崩潰,默認(rèn)情況下是系統(tǒng)反復(fù)重啟。
10、病毒檢測到當(dāng)前系統(tǒng)月份是8月之后或者日期是15日之后,就會向微軟的更新站點(diǎn)“windowsupdate.com”發(fā)動(dòng)拒絕服務(wù)攻擊,使微軟網(wǎng)站的更新站點(diǎn)無法為用戶提供服務(wù)。
手工清除方案:
一、 DOS環(huán)境下清除該病毒:
1、當(dāng)用戶中招出現(xiàn)以上現(xiàn)象后,用DOS系統(tǒng)啟動(dòng)盤啟動(dòng)進(jìn)入DOS環(huán)境下,進(jìn)入C盤的操作系統(tǒng)目錄。
操作命令集:
2、查找目錄中的“msblast.exe”病毒文件。
命令操作集:
3、找到后進(jìn)入病毒所在的子目錄,然后直接將該病毒文件刪除。
Del msblast.exe
二、 在安全模式下清除病毒
如果用戶手頭沒有DOS啟動(dòng)盤,還有一個(gè)方法,就是啟動(dòng)系統(tǒng)后進(jìn)入安全模式,然后搜索C盤,查找msblast.exe文件,找到后直接將該文件刪除,然后再次正常啟動(dòng)計(jì)算機(jī)即可。
給系統(tǒng)打補(bǔ)丁方案:
當(dāng)用戶手工清除了病毒體后,應(yīng)上網(wǎng)下載相應(yīng)的補(bǔ)丁程序,用戶可以先進(jìn)入微軟網(wǎng)站,下載相應(yīng)的系統(tǒng)補(bǔ)丁,給系統(tǒng)打上補(bǔ)丁。以下是補(bǔ)丁的具體下載地址
以上便是關(guān)于沖擊波病毒感染后的發(fā)作現(xiàn)象和清除沖擊波病毒的方法,微軟推送給用戶的重要補(bǔ)丁是有根據(jù)的,假若沖擊波大范圍進(jìn)行感染,微軟其龐大的用戶群已更新了補(bǔ)丁,那沖擊波病毒就無路可走。
三、沖擊波病毒專殺工具
沖擊波病毒專殺工具(RPC漏洞蠕蟲專用查殺工具) v3.0
360殺毒、
金山毒霸等安全軟件都能很好的消滅沖擊波病毒。