史萊姆論壇 - 查看單個文章

psac · 2006-04-22, 07:12 PM

查殺「衝擊波」
「衝擊波」病毒仍在肆虐，並且正改頭換面躲避「追殺」。今天8時30分，「衝擊波」病毒的兩個最新變種被截獲，分別命名為：衝擊波Ⅱ(Worm.Blaster.B)、衝擊波Ⅲ(Worm.Blaster.C)。公安部電腦病毒應急處理中心截至昨天已接到1.5萬個求助電話。全球最大的網際網路安全技術與解決方案供應商賽門鐵克公司稱，截至目前已經發現超過12.7萬台電腦系統被感染，這個數位正在成倍增長。被「衝擊波」病毒擊中的電腦總是在啟動1分鍾後就反覆重啟，讓人無法下載殺毒工具或打修正檔。

　　反病毒專家介紹了兩種辦法：先將網路中斷連線，使用啟動碟，在DOS環境下清除病毒。用DOS系統啟動碟啟動進入DOS環境下，進入C碟的作業系統目錄(操作指令集：C：；CDC：@windows或CDc：@winnt)；搜尋目錄中的「msblast.exe」病毒文件(操作指令集：dirmsblast.exesp)；找到後進入病毒所在的子目錄，然後直接將該病毒文件移除(Delmsblast.exe)。

　　先將網路中斷連線，進入安全模式，搜尋C碟，搜尋msblast.exe文件，找到後直接將該檔案移除，然後再次正常啟動電腦。當用戶手動式清除病毒體後，應上網下載相應的修正檔程序，可以先進入微軟網站，下載相應的系統修正檔。

　　選使用IP包過濾技術，增加TCP、UDP的135、139、445連接阜，最新捕獲得的"新流言"病毒還要關閉TCP4444和UDP69連接阜。

http://www.microsoft.com/china/techn...n/MS03-026.asp

被「衝擊波」病毒感染的機器，最一般的現象就是系統在啟動1分鍾後就反覆重啟，用戶這時候根本就沒有時間上網去下載專殺工具或打修正檔，那該怎麼辦呢？瑞星反病毒專家告訴你一個辦法，讓你在一分鍾之內搞定系統。

　　一、使用啟動碟，在DOS環境下清除病毒。1.當用戶中招出現以上現象後，用DOS系統啟動碟啟動進入DOS環境下，進入C碟的作業系統目錄.操作指令集：C:CD C:\windows (或CD c:\winnt)

　　2.搜尋目錄中的「msblast.exe」病毒文件。指令操作集：dir msblast.exe /s/p

　　3.找到後進入病毒所在的子目錄，然後直接將該病毒文件移除。Del msblast.exe

　　二、進入安全模式，手動式清除病毒如果用戶手頭沒有DOS啟動碟，還有一個方法，就是啟動系統後進入安全模式，然後搜尋C碟，搜尋msblast.exe文件，找到後直接將該檔案移除，然後再次正常啟動電腦即可。

　　三、當用戶手動式清除了病毒體後，應上網先進入微軟網站，下載相應的系統修正檔，給系統打上修正檔。

　　四、打完修正檔後，用戶應下載一個瑞星專殺工具，再次清除一下系統，然後到瑞星網站將瑞星殺毒軟體昇級到最新版，開啟既時監控。

　　五、如果用戶在手動式清除完病毒後，一上網就再次感染病毒並重啟，這時就只能再次手動式清除病毒，然後通過非上網的方式給系統打修正檔，然後再做其它操作。

　　此外，不少用戶下了微軟「衝擊波」修正檔後打不上去，原因是沒有打過SP2以上的修正檔包，此處是SP4的下載位址集合。

熱門病毒：「高速路」病毒

　　(TrojanSpy.Win32.Superway.d.enc)：警惕程度★★★☆，監控型木馬病毒，通過網路傳播，依賴系統: WIN9X/NT/2000/XP。病毒啟動後病毒會將自己安裝到系統目錄下(C:\WINDOWS或C:\WINNT目錄)並修改註冊表的自啟動項，在「HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run」中加入「TaskMontier= C:\WINNT\Mon.exe」的鍵值，
以便下次系統啟動時病毒能自動執行。該病毒還會將自己分別拷貝到D碟根目錄和E碟根目錄下並且產生一個相應的Autorun.inf文件，這樣，只要用戶瀏覽這兩個分區，病毒就能被執行，從而增大了病毒的感染機會。病毒啟動後，會駐停留系統，然後監控整個電腦，與外部的病毒程序溝通，可以造成用戶電腦被控制、重要訊息被洩露等後果。

　　「若虎」病毒(Trojan.PSW.Rohu.server.enc)：警惕程度★★★，木馬病毒，通過網路傳播，依賴系統: WIN9X/NT/2000/XP。該病毒由三部分構成：製造程序、伺服器端GetPin.exe和客戶端GETPIN.dll。病毒執行時會通過製造程序，來設定接收密碼的郵信箱，並產生病毒伺服器程序。然後病毒伺服器程序GetPin.exe會將客戶端GetPin.dll解壓縮到目標電腦中，這時該病毒就能截取用戶各種的輸入訊息來獲得用戶的各種密碼訊息。

Windows 2000 Service Pack 4 簡體中文版下載位址：

http://download.microsoft.com/downlo.../w2ksp4_cn.exe

Windows 2000 Service Pack 4 英文版下載位址：
http://download.microsoft.com/downlo.../W2KSP4_EN.EXE

Windows 2000 Service Pack 4 繁體中文版下載位址：
http://download.microsoft.com/downlo.../W2KSP4_tw.EXE

Windows 2000 Service Pack 4 Hong Kong中文版下載位址：
http://download.microsoft.com/downlo.../W2KSP4_hk.EXE

微軟RPC緩衝區漏洞修正檔

http://download.sina.com.cn/cgi-bin/....cgi?s_id=9021

2006-04-22, 07:12 PM	#6 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	查殺「衝擊波」「衝擊波」病毒仍在肆虐，並且正改頭換面躲避「追殺」。今天8時30分，「衝擊波」病毒的兩個最新變種被截獲，分別命名為：衝擊波Ⅱ(Worm.Blaster.B)、衝擊波Ⅲ(Worm.Blaster.C)。公安部電腦病毒應急處理中心截至昨天已接到1.5萬個求助電話。全球最大的網際網路安全技術與解決方案供應商賽門鐵克公司稱，截至目前已經發現超過12.7萬台電腦系統被感染，這個數位正在成倍增長。被「衝擊波」病毒擊中的電腦總是在啟動1分鍾後就反覆重啟，讓人無法下載殺毒工具或打修正檔。　　反病毒專家介紹了兩種辦法：先將網路中斷連線，使用啟動碟，在DOS環境下清除病毒。用DOS系統啟動碟啟動進入DOS環境下，進入C碟的作業系統目錄(操作指令集：C：；CDC：@windows或CDc：@winnt)；搜尋目錄中的「msblast.exe」病毒文件(操作指令集：dirmsblast.exesp)；找到後進入病毒所在的子目錄，然後直接將該病毒文件移除(Delmsblast.exe)。　　先將網路中斷連線，進入安全模式，搜尋C碟，搜尋msblast.exe文件，找到後直接將該檔案移除，然後再次正常啟動電腦。當用戶手動式清除病毒體後，應上網下載相應的修正檔程序，可以先進入微軟網站，下載相應的系統修正檔。　　選使用IP包過濾技術，增加TCP、UDP的135、139、445連接阜，最新捕獲得的"新流言"病毒還要關閉TCP4444和UDP69連接阜。 http://www.microsoft.com/china/techn...n/MS03-026.asp 被「衝擊波」病毒感染的機器，最一般的現象就是系統在啟動1分鍾後就反覆重啟，用戶這時候根本就沒有時間上網去下載專殺工具或打修正檔，那該怎麼辦呢？瑞星反病毒專家告訴你一個辦法，讓你在一分鍾之內搞定系統。　　一、使用啟動碟，在DOS環境下清除病毒。1.當用戶中招出現以上現象後，用DOS系統啟動碟啟動進入DOS環境下，進入C碟的作業系統目錄.操作指令集：C:CD C:\windows (或CD c:\winnt) 　　2.搜尋目錄中的「msblast.exe」病毒文件。指令操作集：dir msblast.exe /s/p 　　3.找到後進入病毒所在的子目錄，然後直接將該病毒文件移除。Del msblast.exe 　　二、進入安全模式，手動式清除病毒如果用戶手頭沒有DOS啟動碟，還有一個方法，就是啟動系統後進入安全模式，然後搜尋C碟，搜尋msblast.exe文件，找到後直接將該檔案移除，然後再次正常啟動電腦即可。　　三、當用戶手動式清除了病毒體後，應上網先進入微軟網站，下載相應的系統修正檔，給系統打上修正檔。　　四、打完修正檔後，用戶應下載一個瑞星專殺工具，再次清除一下系統，然後到瑞星網站將瑞星殺毒軟體昇級到最新版，開啟既時監控。　　五、如果用戶在手動式清除完病毒後，一上網就再次感染病毒並重啟，這時就只能再次手動式清除病毒，然後通過非上網的方式給系統打修正檔，然後再做其它操作。　　此外，不少用戶下了微軟「衝擊波」修正檔後打不上去，原因是沒有打過SP2以上的修正檔包，此處是SP4的下載位址集合。熱門病毒：「高速路」病毒　　(TrojanSpy.Win32.Superway.d.enc)：警惕程度★★★☆，監控型木馬病毒，通過網路傳播，依賴系統: WIN9X/NT/2000/XP。病毒啟動後病毒會將自己安裝到系統目錄下(C:\WINDOWS或C:\WINNT目錄)並修改註冊表的自啟動項，在「HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run」中加入「TaskMontier= C:\WINNT\Mon.exe」的鍵值，以便下次系統啟動時病毒能自動執行。該病毒還會將自己分別拷貝到D碟根目錄和E碟根目錄下並且產生一個相應的Autorun.inf文件，這樣，只要用戶瀏覽這兩個分區，病毒就能被執行，從而增大了病毒的感染機會。病毒啟動後，會駐停留系統，然後監控整個電腦，與外部的病毒程序溝通，可以造成用戶電腦被控制、重要訊息被洩露等後果。　　「若虎」病毒(Trojan.PSW.Rohu.server.enc)：警惕程度★★★，木馬病毒，通過網路傳播，依賴系統: WIN9X/NT/2000/XP。該病毒由三部分構成：製造程序、伺服器端GetPin.exe和客戶端GETPIN.dll。病毒執行時會通過製造程序，來設定接收密碼的郵信箱，並產生病毒伺服器程序。然後病毒伺服器程序GetPin.exe會將客戶端GetPin.dll解壓縮到目標電腦中，這時該病毒就能截取用戶各種的輸入訊息來獲得用戶的各種密碼訊息。 Windows 2000 Service Pack 4 簡體中文版下載位址： http://download.microsoft.com/downlo.../w2ksp4_cn.exe Windows 2000 Service Pack 4 英文版下載位址： http://download.microsoft.com/downlo.../W2KSP4_EN.EXE Windows 2000 Service Pack 4 繁體中文版下載位址： http://download.microsoft.com/downlo.../W2KSP4_tw.EXE Windows 2000 Service Pack 4 Hong Kong中文版下載位址： http://download.microsoft.com/downlo.../W2KSP4_hk.EXE 微軟RPC緩衝區漏洞修正檔 http://download.sina.com.cn/cgi-bin/....cgi?s_id=9021
	__________________
	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次