冲击波病毒简介及解决方法
来源:互联网 发布:淘宝丽得姿海外旗舰店 编辑:程序博客网 时间:2024/04/29 08:43
一、简介
【病毒名称】冲击波 ( Worm.Blaster )
【病毒类型】蠕虫病毒
【依赖系统】WINDOWS NT/2000/XP
【传播途径】网络/RPC漏洞
【病毒症状】
“冲击波”病毒Worm.msBlast是第一个利用RPC漏洞进行攻击和传染的病毒!漏洞存在于Windows NT、Windows 2000、 Windows XP和微软最新主要操作系统Windows Server 2003。
受感染的机器将会出现下列症状:
1、莫名其妙地死机或重新启动计算机或显示60秒倒计时关机;
2、IE浏览器不能正常地打开链接;
3、不能复制粘贴;
4、有时出现应用程序异常,比如Word异常;
5、网络变慢;
6、最重要的是,在任务管理器里有一个叫“msblast.exe”的进程在运行!
【病毒危害】
系统操作异常、不停重启、甚至导致系统崩溃。另外,该病毒还会对微软的一个升级网站进行拒绝服务攻击,导致该网站堵塞,使用户无法通过该网站升级系统。该病毒还会使被攻击的系统丧失更新该漏洞补丁的能力。
【感染步骤】
病毒运行时会不停地利用IP扫描技术寻找网络上系统为Win2K或XP的计算机,找到后就利用DCOM RPC缓冲区漏洞攻击该系统。
二、杀毒方法
1. 病毒通过微软的最新RPC漏洞进行传播,因此用户应先给系统打上RPC补丁,补丁地址:
http://www.pc558.net/down/html/96.html
2. 病毒运行时会建立一个名为:“BILLY”的互斥量,使病毒自身不重复进入内存,并且病毒在内存中建立一个名为:“msblast”的进程,用户可以用任务管理器将该病毒进程终止。
3. 病毒运行时会将自身复制为:%systemdir%/msblast.exe,用户可以手动删除该病毒文件。
注意:%Windir%是一个变量,它指的是操作系统安装目录,默认是:“C:/Windows”或:“c:/Winnt”,也可以是用户在安装操作系统时指定的其它目录.
4. 病毒会修改注册表的HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run项,在其中加入:"windows auto update"="msblast.exe",进行自启动,用户可以手工清除该键值。
5. 病毒会用到135、4444、69等端口,用户可以使用防火墙软件将这些端口禁止或者使用“TCP/IP筛选” 功能,禁止这些端口。
三、典型案例
症状:
电脑总不定时弹出svchost.exe错误。Svchost.exe错误提示 在浏览网页时,经常弹出如下信息:Svchost.exe应用程序错误,“Ox09f3a68”指令引用的“Oxe09f3a68”内存不能为“read”。
解决办法:
从描述的现象来看,很可能是系统没有安装RPC冲击波补丁,当然并非所有的Svchost.exe错误提示都是RPC漏洞造成的。在启动的时候,Svchost.exe检查注册表中的位置来构建需要加载的服务列表,这就会使多个Svchost.exe在同一时间运行。
如果你在控制台发现有多个Svchost.exe进程并且CPU一直保持极高的占用率,那么就应该运行service.msc,把不必要的服务关掉。
并且搜索Svchost.exe文件,正常的只会找到一个在:“C:/Windows/System32”目录下的Svchost.exe程序。如果你在其他目录下发现Svchost.exe程序的话,那很可能就是中毒了。还有一种确认Svchost.exe是否中毒的方法是在任务管理器中察看进程的执行路径。但是由于在Windows系统自带的任务管理器不能察看进程路径,所以要使用第三方的进程察看工具。如果已经中毒在安全模式下杀吧,注意把杀毒软件升级。
- 冲击波病毒简介及解决方法
- 冲击波病毒原代码
- 冲击波 病毒源码 【后果自负】
- RPC简介以及冲击波介绍
- 用access-list 对抗“冲击波”病毒
- 冲击波(震荡波)病毒爆发
- 冲击波(Worm.Blaster)病毒详细解决方案
- “冲击波”病毒的症状和解决方案
- 冲击波
- U盘病毒病状及解决方法
- “熊猫烧香”病毒简介及特征
- ARP简介及ARP病毒原理
- 简介JS脚本病毒解密及相关分析方法
- 拒绝访问病毒解决方法
- delphi梦魇病毒--解决方法
- web7b病毒的解决方法
- acer病毒的解决方法
- 勒索病毒尝试解决方法
- 程序设计
- GridBagLayout用法
- 程序设计
- 【转】维深科技 > 解决方案
- STLPort 5.1.5 编译
- 冲击波病毒简介及解决方法
- windows用户管理命令的使用
- mytunet mobile 开发手记 01
- memset /memcpy /strcpy函数的使用与区别
- 视频知识扫盲
- 日记.
- 【转】自动识别技术在医院管理信息化中的应用
- ps去掉文字的简单方法
- 《我也能做CTO之程序员职业规划》之七:大学生职业规划技巧