如何處理衝擊波病毒
病毒中文名:衝擊波(包括很多變種)
病毒類型:蠕蟲病毒
攻擊對像:Windows NT 4.0,Windows 2000,Windows XP,Windows Server 2003等
傳播途徑:「衝擊波」是一種利用Windows系統的RPC(遠端過程呼叫,是一種通信協議,程式可使用該協議向網路中的另一台電腦上的程式請求服務)漏洞進行傳播、隨機發作、破壞力強的蠕蟲病毒。它不需要通過電子郵件(或附件)來傳播,更隱蔽,更不易察覺。它使用IP掃瞄技術來查找網路上操作系統為Windows 2000/XP/2003的電腦,一旦找到有漏洞的電腦,它就會利用DCOM(分佈式對像模型,一種協議,能夠使軟件元件通過網路直接進行通信)RPC緩衝區漏洞植入病毒體以控制和攻擊該系統。
中毒症狀:
1.系統資源緊張,應用程式執行速度異常;
2.網路速度減慢,「DNS」和「ⅡS」服務遭到非法拒絕,用戶不能正常瀏覽網頁或收發電子郵件;
3.不能進行複製、貼上去操作;
4.Word、Excel、PowerPoint等軟件無法正常執行;
5.系統無故重啟,或在彈出「系統關機」警告提示後自動重啟等等。
應急辦法:
如果不小心感染病毒,可以使用如下步驟進行查殺:
1.關閉「系統關機」提示視窗
在出現關機提示時,在「開始→執行」中輸入「shutdown -a」,即可取消「系統關機」提示視窗,該方法確保用戶有足夠的時間下載修正檔。
2.下載針對「衝擊波」的修正檔
Windows 2000簡體中文版修正檔下載位址:
http://www.microsoft.com/downloads/d...f-220354449117
Windows XP 簡體中文版(32位)修正檔下載位址:
http://www.microsoft.com/downloads/d...2-3de40f69c074
Windows Server 2003 中文版(32位))修正檔下載位址:
http://www.microsoft.com/downloads/d...9-3a212458e92e
在下載修正檔時,要注意不同的操作系統、不同的版本均有不同的修正檔,不可混淆。安裝修正檔時,盜版Windows XP系統可能不能正常安裝,Windows 2000操作系統則必須升級SP2以上版本才可安裝。
Windows2000 Service Pack 4簡體中文版下載位址:
http://download.microsoft.com/downlo.../w2ksp4_cn.exe
3.下載專殺工具
瑞星「衝擊波(Worm.Blaster))」病毒專殺工具下載位址:
http://download.rising.com.cn/zsgj/ravzerg.exe
金山「衝擊波(Worm.Blaster))」病毒專殺工具下載位址:
http://www.duba.net/download/othertools/duba_sdbot.exe
4.離線殺毒
離線網路連接,然後執行專殺工具,這些工具體積小巧,操作簡單,按照提示操作即可。
手工清除:
如果想體驗一下手工殺毒的樂趣,可以按以下步驟操作:
1.中止工作行程
按「Ctrl+Alt+Del」組合鍵,在「Windows 任務管理器」中選擇「工作行程」選擇項,查找「msblast.exe」(或「teekids.exe」、「penis32.exe」),選中它,然後,點擊下方的「結束工作行程」按鍵。
提示:如不能執行「Windows 任務管理器」,可以在「開始→執行」中輸入「cmd」打開「命令提示字元」視窗,輸入以下命令「taskkill.exe /im msblast.exe」(或「taskkill.exe /im teekids.exe」、「taskkill.exe /im penis32.exe」)。
2.刪除病毒體
依次點擊「開始→搜索」,選擇「所有文件和資料夾」選項,輸入關鍵詞「msblast.exe」,將查找目標定在操作系統所在分區。搜索完畢後,在「搜索結果」視窗將所找到的文件徹底刪除。然後使用相同的方法,查找並刪除「teekids.exe「和「penis32.exe」文件。
提示:在Windows XP系統中,應首先禁用「系統還原」功能,方法是:右擊「我的電腦」,選擇「內容」,在「系統內容」中選擇「系統還原」選擇項,勾選「在所有驅動器上關閉系統還原」即可。
如不能執行「搜索」,可以在「開始→執行」中輸入「cmd」打開「命令提示字元」 視窗,輸入以下命令:
「del 系統硬碟符\winnt\system32\msblast.exe」(Windows 2000系統)或「del系統硬碟符\windows\system\msblast.exe」(Windows XP系統)
3.修改註冊表
點擊「開始→執行」,輸入「regedit」打開「註冊表編輯器」,依次找到「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run」,刪除「windows auto update=msblast.exe」(病毒變種可能會有不同的顯示內容)。
4.重新啟動電腦
重啟電腦後,「衝擊波」病毒就已經從系統中完全清除了。
防 御:
可以通過系統升級、優化網路設置和使用第三方軟件的方法來增強系統的安全性能。
系統升級防病毒
安裝針對「衝擊波」的修正檔後,怎樣確認修正檔已經正確安裝呢?我們可以通過檢視註冊表的方法來確認,方法如下:在「開始→執行」中輸入「regedit」,打開「註冊表編輯器」,檢視相應的註冊表訊息:
「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB823980」(Windows 2000系統)
「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB823980」(Windows XP系統)
「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Window Server 2003\SP1\KB823980」(Windows Server 2003系統)
禁用連接阜防病毒
「衝擊波」病毒是利用系統的135、137、138、139、445、593連接阜,以及UDP連接阜69(TFTP))和TCP連接阜4444入侵系統的,只要禁用了這些連接阜就能有效地防範此類病毒。
1.手工設置
手工禁用連接阜的方法如下(以Windows 2000為例):
打開「控制台」,雙擊「網路連接」,右擊「區域連線」,選擇「內容」,在「區域連線內容」視窗中,選擇「Internet」協議,點擊「高階」按鍵,然後在「高階TCP/IP設置」視窗中選擇「選項」選擇項,雙擊「TCP/IP篩選」即可進入設置視窗。選擇「只允許」,則用戶只能使用設定的連接阜,這樣就可以達到禁用危險連接阜的目的。一般而言,如果我們的電腦只是工作站而不是服務器,就可以只開放如下連接阜:TCP:80,UDP:6,IP協議:17。
提示:不同的應用程式可能會要求使用系統不同的連接阜,比如FTP軟件需要用到TCP21連接阜等,請按照各程式的說明文件進行相應的設置。
2.使用防火牆軟件
對普通用戶而言,手工設置可能會比較困難,筆者建議使用專門的防火牆軟件,如Norton Internet Security、金山網鏢、瑞星個人防火牆、天網防火牆個人版等。
啟用Internet連接防火牆
對於使用 Windows XP或Windows Server 2003的用戶來說,系統內置的Internet連接防火牆就能有效地阻止來自Internet的入站RPC通信訊息,從而免受此類病毒的影響。操作方法為:進入「開始→控制台」,雙擊「網路連接」,右擊「區域連線」,選擇「內容」,在「內容」視窗中點擊「高階」按鍵,就可以看到「Internet 連接防火牆」,勾選「通過限制或阻止來自Internet的對此電腦的訪問業保護我的電腦和網路」即可。
禁用DCOM防病毒
DCOM是一種能夠使軟件元件通過網路直接進行通信的協議。如果一台電腦是網路的一部分,則該電腦上的COM對像將能夠通過DCOM網路協議與另一台電腦上的COM對像進行通信。通過禁用DCOM,可以幫助電腦防範「衝擊波」,具體操作方法如下:
在「開始→執行」中輸入「Dcomcnfg.exe」,打開「元件服務」視窗;單擊「控制台根節點」下的「元件服務」,再打開「電腦」子資料夾;然後右擊「我的電腦」,選擇「內容」(對於本機電腦),或者右擊「電腦」資料夾,選擇「新增→電腦」,輸入電腦名稱,再右擊該電腦名稱,然後選擇「內容」(對於遠端電腦);然後選擇「預定內容」選擇項,取消「在這台電腦上啟用分佈式COM」復選框上的鉤即可。
提示:禁用DCOM會阻斷該電腦上的對象與其他電腦上的對象之間的所有通信,請慎重選擇。
幾點注意:
1.安裝專業的防火牆和防病毒軟件,並啟動「既時防護」功能,並且經常更新病毒庫;
2.啟動系統的自動更新功能,及時下載安裝最新的安全修正檔,未雨綢繆;
3.優化與系統安全相關的參數,修改部分預設值,關閉或刪除系統中不需要的服務;
4.養成良好的網路安全觀念,不訪問不健康網站,不隨意打開來歷不明的郵件及附件,不要執行從Internet下載的未經殺毒處理的軟件;
5.盡量使用複雜的密碼,提高電腦的安全係數;
6.發現病毒時,應該迅速離線網路連接,隔離受感染的電腦。