应对“冲击波克星”的最新解决方案[堕落街论坛]

8月18日中午，金山反病毒中心又截获了一个利用RPC漏洞进行传播的病毒“冲击波克星”（Worm.KillMsBlast）。　　据金山反病毒中心介绍：该病毒可以实时杀死“冲击波”(Worm.Msblast)病毒，并在系统内种下预防“冲击波”病毒的简易疫苗，而且还会尝试从微软网站上下载补丁程序，将受感染的系统打上补丁。该病毒在做完“好事”之后便会开启上百的线程疯狂探测IP地址，并通过RPC漏洞快速传播自己，消耗大量CPU和网络资源，并且有可能会导致系统死机。最后，该病毒设定在2004年自毁。　　利用RPC漏洞疯狂传染的“冲击波”已经给全球网络用户造成了非常多的麻烦，相信中毒用户都有切身感受。这次“冲击波克星”表面上“以毒攻毒”似乎是在做“好事”，但是作者幼稚的近乎“异想天开”。因为该变种病毒不但要攻击RPC漏洞，还会将自身复制到%system%\Wins文件夹下，创建FTP服务和Wins Client服务。其中FTP服务开启系统的FTP功能用于传播病毒。“冲击波克星”感染一台机器后就会使用Ping命令或ICMP echo方式探测随机产生的IP地址是否有效，如果有效便开始进行攻击。该病毒会在受感染的系统中随机使用666-765端口与攻击系统进行连接。该病毒还会检查系统版本和微软补丁包的版本号，然后根据不同的操作系统尝试从微软下载有关RPC漏洞的补丁程序，并自动运行补丁程序，给系统打上RPC漏洞的补丁。　　病毒作者所运用手法极端得近乎疯狂，该病毒发作后会开启上百个线程、在PING到有效的IP地址之后就会向该IP发起攻击并传播，所以该病毒传播更有效，速度更快，而且一发作便会消耗尽所有的CPU资源从而导致机器运行缓慢直至系统瘫痪。总之“冲击波克星”给用户造成的危害将是“冲击波”的几倍。不过升级了系统以及修补了RPC漏洞的用户不会再被该病毒感染。　　金山毒霸已经于当日紧急更新了病毒库，金山毒霸系列产品的用户只需升级最新的病毒库即可查杀“冲击波克星”以及其他“冲击波”的最新变种。同时不能上网的用户用金山发放的“冲击波”完全解决方案光盘进行系统升级也可以避免受此病毒的攻击。　　中了“冲击波克星”的现象是：　　1、莫名其妙地死机或提示倒计时重新启动计算机；　　2、IE浏览器不能正常地打开链接；　　3、不能复制粘贴；　　4、有时出现应用程序，比如Word异常；　　5、系统速度变慢；　　6、网络速度下降；　　7、系统中有一个名为Dllhost.exe的进程，如图：

8、查看系统服务中可能会有名为 RpcTftpd 和 RpcPatch的服务9、防火墙能拦截到大量外部IP探测信息金山毒霸解决方案： 1、立即更新金山毒霸到最新金山毒霸企业用户请更新服务端病毒库，然后统一升级所有客户端和统一查杀　　金山网镖用户可使用网镖设置防火墙规则，禁用PING，如图：

2、使用金山“冲击波”专杀工具　　金山“冲击波”专杀工具专杀利用RPC漏洞进行传播的病毒和“冲击波”家族系列病毒；　　3、更新微软最新补丁程序　　http://www.microsoft.com/china/technet/security/bulletin/MS03-026.asp 　　(1)仅支持Windows授权产品,盗版用户慎用; 　　(2)Windows产品及其所有补丁版权归微软公司所有。　　手工清除方法：（因其有关步骤可能造成系统的不稳定，所以建议普通用户尽量采用以上的毒霸解决方案）　　1、停止病毒开启的服务　　病毒开启的服务名为： RpcTftpd和: RpcPatch 　　2、断开网络，结束进程中的Dllhost.exe进程　　3、更新微软最新补丁程序　　http://www.microsoft.com/china/technet/security/bulletin/MS03-026.asp 　　(1)仅支持Windows授权产品,盗版用户慎用; 　　(2)Windows产品及其所有补丁版权归微软公司所有。　　4、删除C:\WINNT\System32\wins\（C:\Windows\System32\wins）文件夹下的Dllhost.exe和svchost.exe文件　　5、使用网镖或其它防火墙拦截　　设置防火墙规则　　禁用PING

主题：应对“冲击波克星”的最新解决方案