- 堕落街论坛 (http://duoluojie.1314179.com.cn:443/index.asp)
-- 游戏体育 (http://duoluojie.1314179.com.cn:443/list.asp?boardid=331)
---- 应对“冲击波克星”的最新解决方案 (http://duoluojie.1314179.com.cn:443/dispbbs.asp?boardid=331&id=3017)
-- 发布时间:2003/9/1 11:02:00
-- 应对“冲击波克星”的最新解决方案
8月18日中午,金山反病毒中心又截获了一个利用RPC漏洞进行传播的病毒“冲击波克星”(Worm.KillMsBlast)。 据金山反病毒中心介绍:该病毒可以实时杀死“冲击波”(Worm.Msblast)病毒,并在系统内种下预防“冲击波”病毒的简易疫苗,而且还会尝试从微软网站上下载补丁程序,将受感染的系统打上补丁。该病毒在做完“好事”之后便会开启上百的线程疯狂探测IP地址,并通过RPC漏洞快速传播自己,消耗大量CPU和网络资源,并且有可能会导致系统死机。最后,该病毒设定在2004年自毁。 利用RPC漏洞疯狂传染的“冲击波”已经给全球网络用户造成了非常多的麻烦,相信中毒用户都有切身感受。这次“冲击波克星”表面上“以毒攻毒”似乎是在做“好事”,但是作者幼稚的近乎“异想天开”。因为该变种病毒不但要攻击RPC漏洞,还会将自身复制到%system%\\Wins文件夹下,创建FTP服务和Wins Client服务。其中FTP服务开启系统的FTP功能用于传播病毒。“冲击波克星”感染一台机器后就会使用Ping命令或ICMP echo方式探测随机产生的IP地址是否有效,如果有效便开始进行攻击。该病毒会在受感染的系统中随机使用666-765端口与攻击系统进行连接。该病毒还会检查系统版本和微软补丁包的版本号,然后根据不同的操作系统尝试从微软下载有关RPC漏洞的补丁程序,并自动运行补丁程序,给系统打上RPC漏洞的补丁。 病毒作者所运用手法极端得近乎疯狂,该病毒发作后会开启上百个线程、在PING到有效的IP地址之后就会向该IP发起攻击并传播,所以该病毒传播更有效,速度更快,而且一发作便会消耗尽所有的CPU资源从而导致机器运行缓慢直至系统瘫痪。总之“冲击波克星”给用户造成的危害将是“冲击波”的几倍。不过升级了系统以及修补了RPC漏洞的用户不会再被该病毒感染。 金山毒霸已经于当日紧急更新了病毒库,金山毒霸系列产品的用户只需升级最新的病毒库即可查杀“冲击波克星”以及其他“冲击波”的最新变种。同时不能上网的用户用金山发放的“冲击波”完全解决方案光盘进行系统升级也可以避免受此病毒的攻击。 中了“冲击波克星”的现象是: 1、莫名其妙地死机或提示倒计时重新启动计算机; 2、IE浏览器不能正常地打开链接; 3、不能复制粘贴; 4、有时出现应用程序,比如Word异常; 5、系统速度变慢; 6、网络速度下降; 7、系统中有一个名为Dllhost.exe的进程,如图:
8、查看系统服务中可能会有名为 RpcTftpd 和 RpcPatch的服务9、防火墙能拦截到大量外部IP探测信息
金山毒霸解决方案:
1、 立即更新金山毒霸到最新金山毒霸企业用户请更新服务端病毒库,然后统一升级所有客户端和统一查杀
金山网镖用户可使用网镖设置防火墙规则,禁用PING,如图:
2、使用金山“冲击波”专杀工具
金山“冲击波”专杀工具专杀利用RPC漏洞进行传播的病毒和“冲击波”家族系列病毒;
3、更新微软最新补丁程序
http://www.microsoft.com/china/technet/security/bulletin/MS03-026.asp
(1)仅支持Windows授权产品,盗版用户慎用;
(2)Windows产品及其所有补丁版权归微软公司所有。
手工清除方法:(因其有关步骤可能造成系统的不稳定,所以建议普通用户尽量采用以上的毒霸解决方案)
1、停止病毒开启的服务
病毒开启的服务名为: RpcTftpd和: RpcPatch
2、断开网络,结束进程中的Dllhost.exe进程
3、更新微软最新补丁程序
http://www.microsoft.com/china/technet/security/bulletin/MS03-026.asp
(1)仅支持Windows授权产品,盗版用户慎用;
(2)Windows产品及其所有补丁版权归微软公司所有。
4、删除C:\\WINNT\\System32\\wins\\(C:\\Windows\\System32\\wins)文件夹下的Dllhost.exe和svchost.exe文件
5、使用网镖或其它防火墙拦截
设置防火墙规则
禁用PING
-- 发布时间:2003/9/1 11:09:00
-- 查看或中止服务的方法:
在此之前请用管理员身份的帐号登录系统。 1、右键点击我的电脑,选择“管理”
2、展开左则“计算机管理”目录树下的“服务和应用程序”,选择“服务”
在此可看到系统所管理的所有服务。
3、查找到相应“服务”,双击其项,打开该服务的“属性”窗口
4、点击“停止”按钮,停止服务
5、选择“启动类型”为“禁用”,最后点击OK,完成中止服务
-- 发布时间:2003/9/1 20:23:00
--
对了 忘了说了 若用的是诺顿 会显示 c:\\winnt\\system32\\wins\\dllhost.exe文件被发现感染了W32.Welchia.Worm病毒
-- 发布时间:2003/9/4 13:12:00
--
你早点说就好了.
-- 发布时间:2003/9/4 13:15:00
--
前些天上班就遭遇“冲击波”,机器被隔离,无法上网! 结果整整好多天无所事事!不用上班:P 后来就被整死了,每台机子装系统,忙得脚打后脚勺,前背贴后背。
-- 发布时间:2003/9/4 17:34:00
--
呵呵 你搞错了 这个不是冲击波 是“冲击波克星” 它可以实时杀死“冲击波”(Worm.Msblast)病毒,并在系统内种下预防“冲击波”病毒的简易疫苗,而且还会帮你从微软网站上下载补丁程序,将受感染的系统打上补丁。 该病毒在做完“好事”之后便会开启上百的线程疯狂探测IP地址,并通过RPC漏洞快速传播自己,消耗大量CPU和网络资源,并且有可能会导致系统死机。
-- 发布时间:2003/9/4 18:05:00
--
有几个问题 第一:svchost无法中止,且无法删除,在dos下删除后,无法正常启动 第二:svchost并非与dllhost一起出现,而是出现多个svchost进程,且均不能中止。 如何解决
-- 发布时间:2003/9/5 19:08:00
--
先用查毒工具(可下载最新的)看中的是不是“冲击波克星” 是的话再仔细看看上面的步骤。 不是叫你将可执行的svchost文件全都停止进程。 而是结束进程中的Dllhost.exe进程 下载补丁后再删除C:\\WINNT\\System32\\wins\\(C:\\Windows\\System32\\wins)文件夹下的Dllhost.exe和svchost.exe文件
-- 发布时间:2003/9/10 16:15:00
--
受益了
-- 发布时间:2003/9/11 21:27:00
--
2000的系统很好的,