處理沖擊波

處理沖擊波

　　病毒中文名：沖擊波(包括很多變種)

　　病毒類型：蠕蟲病毒

　　攻擊對象：Windows NT 4.0，Windows 2000，Windows XP，Windows Server 2003等

　　傳播途徑：“沖擊波”是一種利用Windows系統的RPC(遠端過程調用，是一種通信協定，程式可使用該協定向網絡中的另一台計算機上的程式請求服務)漏洞進行傳播、随機發作、破壞力強的蠕蟲病毒。它不需要通過電子郵件(或附件)來傳播，更隐蔽，更不易察覺。它使用IP掃描技術來查找網絡上作業系統為Windows 2000/XP/2003的計算機，一旦找到有漏洞的計算機，它就會利用DCOM(分布式對象模型，一種協定，能夠使軟體元件通過網絡直接進行通信)RPC緩沖區漏洞植入病毒體以控制和攻擊該系統。

　　中毒症狀：

　　1.系統資源緊張，應用程式運作速度異常；

　　2.網絡速度減慢，“DNS”和“ⅡS”服務遭到非法拒絕，使用者不能正常浏覽網頁或收發電子郵件；

　　3.不能進行複制、粘貼操作；

　　4.Word、Excel、PowerPoint等軟體無法正常運作；

　　5.系統無故重新開機，或在彈出“系統關機”警告提示後自動重新開機等等。

　　應急辦法：

　　如果不小心感染病毒，可以使用如下步驟進行清除：

　　1.關閉“系統關機”提示框

　　在出現關機提示時，在“開始→運作”中輸入“shutdown -a”，即可取消“系統關機”提示框，該方法確定使用者有足夠的時間下載下傳更新檔。

　　2.下載下傳針對“沖擊波”的更新檔

　　Windows 2000簡體中文版更新檔下載下傳位址：http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&familyid=c8b8a846-f541-4c15-8c9f-220354449117

　　Windows XP 簡體中文版(32位)更新檔下載下傳位址：

　　http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&familyid=2354406c-c5b6-44ac-9532-3de40f69c074

　　Windows Server 2003 中文版(32位))更新檔下載下傳位址：

　　http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&familyid=f8e0ff3a-9f4c-4061-9009-3a212458e92e

　　在下載下傳更新檔時，要注意不同的作業系統、不同的版本均有不同的更新檔，不可混淆。安裝更新檔時，盜版Windows XP系統可能不能正常安裝，Windows 2000作業系統則必須更新SP2以上版本才可安裝。

　　Windows2000 Service Pack 4簡體中文版下載下傳位址：http://download.microsoft.com/download/4/1/4/4140e2e0-0ad9-4438-ac52-da0e0429c0e6/w2ksp4_cn.exe

　　3.下載下傳專殺工具

　　瑞星“沖擊波(Worm.Blaster))”病毒專殺工具下載下傳位址：http://download.rising.com.cn/zsgj/ravzerg.exe

　　金山“沖擊波(Worm.Blaster))”病毒專殺工具下載下傳位址：http://www.duba.net/download/othertools/duba_sdbot.exe

　　4.脫機殺毒

　　斷開網絡連接配接，然後運作專殺工具，這些工具體積小巧，操作簡單，按照提示操作即可。

　　手工清除：

　　如果想體驗一下手工殺毒的樂趣，可以按以下步驟操作：

　　1.中止程序

　　按“Ctrl+Alt+Del”組合鍵，在“Windows 任務管理器”中選擇“程序”頁籤，查找“msblast.exe”(或“teekids.exe”、“penis32.exe”)，選中它，然後，點選下方的“結束程序”按鈕。

　　提示：如不能運作“Windows 任務管理器”，可以在“開始→運作”中輸入“cmd”打開“指令提示符”視窗，輸入以下指令“taskkill.exe /im msblast.exe”(或“taskkill.exe /im teekids.exe”、“taskkill.exe /im penis32.exe”)。

　　2.删除病毒體

　　依次點選“開始→搜尋”，選擇“所有檔案和檔案夾”選項，輸入關鍵詞“msblast.exe”，将查找目标定在作業系統所在分區。搜尋完畢後，在“搜尋結果”視窗将所找到的檔案徹底删除。然後使用相同的方法，查找并删除“teekids.exe“和“penis32.exe”檔案。

　　提示：在Windows XP系統中，應首先禁用“系統還原”功能，方法是：右擊“我的電腦”，選擇“屬性”，在“系統屬性”中選擇“系統還原”頁籤，勾選“在所有驅動器上關閉系統還原”即可。

　　如不能運作“搜尋”，可以在“開始→運作”中輸入“cmd”打開“指令提示符” 視窗，輸入以下指令：

　　“del 系統盤符\winnt\system32\msblast.exe”(Windows 2000系統)或“del系統盤符\windows\system\msblast.exe”(Windows XP系統)

　　3.修改系統資料庫

　　點選“開始→運作”，輸入“regedit”打開“系統資料庫編輯器”，依次找到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”，删除“windows auto update=msblast.exe”(病毒變種可能會有不同的顯示内容)。

　　4.重新啟動計算機

　　重新開機計算機後，“沖擊波”病毒就已經從系統中完全清除了。

　　防 禦：

　　可以通過系統更新、優化網絡設定和使用第三方軟體的方法來增強系統的安全性能。

　　系統更新防病毒

　　安裝針對“沖擊波”的更新檔後，怎樣确認更新檔已經正确安裝呢？我們可以通過檢視系統資料庫的方法來确認，方法如下：在“開始→運作”中輸入“regedit”，打開“系統資料庫編輯器”，檢視相應的系統資料庫資訊：

　　“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB823980”(Windows 2000系統)

　　“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB823980”(Windows XP系統)

　　“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Window Server 2003\SP1\KB823980”(Windows Server 2003系統)

　　禁用端口防病毒

　　“沖擊波”病毒是利用系統的135、137、138、139、445、593端口，以及UDP端口69(TFTP))和TCP端口4444入侵系統的，隻要禁用了這些端口就能有效地防範此類病毒。

　　1.手工設定

　　手工禁用端口的方法如下(以Windows 2000為例)：

　　打開“控制台”，輕按兩下“網絡連接配接”，右擊“本地連接配接”，選擇“屬性”，在“本地連接配接屬性”視窗中，選擇“Internet”協定，點選“進階”按鈕，然後在“進階TCP/IP設定”視窗中選擇“選項”頁籤，輕按兩下“TCP/IP篩選”即可進入設定視窗。選擇“隻允許”，則使用者隻能使用設定的端口，這樣就可以達到禁用危險端口的目的。一般而言，如果我們的計算機隻是工作站而不是伺服器，就可以隻開放如下端口：TCP：80，UDP：6，IP協定：17。

　　提示：不同的應用程式可能會要求使用系統不同的端口，比如FTP軟體需要用到TCP21端口等，請按照各程式的說明檔案進行相應的設定。

　　2.使用防火牆軟體

　　對普通使用者而言，手工設定可能會比較困難，筆者建議使用專門的防火牆軟體，如Norton Internet Security、金山網镖、瑞星個人防火牆、天網防火牆個人版等。

　　啟用Internet連接配接防火牆

　　對于使用 Windows XP或Windows Server 2003的使用者來說，系統内置的Internet連接配接防火牆就能有效地阻止來自Internet的入站RPC通信資訊，進而免受此類病毒的影響。操作方法為：進入“開始→控制台”，輕按兩下“網絡連接配接”，右擊“本地連接配接”，選擇“屬性”，在“屬性”視窗中點選“進階”按鈕，就可以看到“Internet 連接配接防火牆”，勾選“通過限制或阻止來自Internet的對此計算機的通路業保護我的計算機和網絡”即可。

　　禁用DCOM防病毒

　　DCOM是一種能夠使軟體元件通過網絡直接進行通信的協定。如果一台計算機是網絡的一部分，則該計算機上的COM對象将能夠通過DCOM網絡協定與另一台計算機上的COM對象進行通信。通過禁用DCOM，可以幫助計算機防範“沖擊波”，具體操作方法如下：

　　在“開始→運作”中輸入“Dcomcnfg.exe”，打開“元件服務”視窗；單擊“控制台根節點”下的“元件服務”，再打開“計算機”子檔案夾；然後右擊“我的電腦”，選擇“屬性”(對于本地計算機)，或者右擊“計算機”檔案夾，選擇“建立→計算機”，輸入計算機名稱，再右擊該計算機名稱，然後選擇“屬性”(對于遠端計算機)；然後選擇“預設屬性”頁籤，取消“在這台計算機上啟用分布式COM”複選框上的鈎即可。

　　提示：禁用DCOM會阻斷該計算機上的對象與其他計算機上的對象之間的所有通信，請慎重選擇。

　　幾點注意：

　　1.安裝專業的防火牆和防病毒軟體，并激活“實時防護”功能，并且經常更新病毒庫；

　　2.激活系統的自動更新功能，及時下載下傳安裝最新的安全更新檔，未雨綢缪；

　　3.優化與系統安全相關的參數，修改部分預設值，關閉或删除系統中不需要的服務；

　　4.養成良好的網絡安全觀念，不通路不健康網站，不随意打開來曆不明的郵件及附件，不要執行從Internet下載下傳的未經殺毒處理的軟體；

　　5.盡量使用複雜的密碼，提高計算機的安全系數；

　　6.發現病毒時，應該迅速斷開網絡連接配接，隔離受感染的計算機。