网络安全 频道

让冲击波病毒无处藏身

 病毒详细说明:
1. 病毒运行时会将自身复制到window目录下,并命名为: msblast.exe。
2. 病毒运行时会在系统中建立一个名为:“BILLY”的互斥量,目的是病毒只保证在内存中有一份病毒体,为了避免用户发现。
3. 病毒运行时会在内存中建立一个名为:“msblast.exe”的进程,该进程就是活的病毒体。
4. 病毒会修改注册表,在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中添加以下键值:"windows auto update"="msblast.exe",以便每次启动系统时,病毒都会运行。
5. 病毒体内隐藏有一段文本信息:
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!
6. 病毒会以20秒为间隔,每20秒检测一次网络状态,当网络可用时,病毒会在本地的UDP/69端口上建立一个tftp服务器,并启动一个攻击传播线程,不断地随机生成攻击地址,进行攻击,另外该病毒攻击时,会首先搜索子网的IP地址,以便就近攻击。
7. 当病毒扫描到计算机后,就会向目标计算机的TCP/135端口发送攻击数据。
8. 当病毒攻击成功后,便会监听目标计算机的TCP/4444端口作为后门,并绑定cmd.exe。然后蠕虫会连接到这个端口,发送tftp命令,回连到发起进攻的主机,将msblast.exe传到目标计算机上并运行。
9. 当病毒攻击失败时,可能会造成没有打补丁的Windows系统RPC服务崩溃,Windows XP系统可能会自动重启计算机。该蠕虫不能成功攻击Windows Server2003,但是可以造成Windows Server2003系统的RPC服务崩溃,默认情况下是系统反复重启。
10. 病毒检测到当前系统月份是8月之后或者日期是15日之后,就会向微软的更新站点"windowsupdate.com"发动拒绝服务攻击,使微软网站的更新站点无法为用户提供服务。

手工清除方案:

一、 DOS环境下清除该病毒:
1.当用户中招出现以上现象后,用DOS系统启动盘启动进入DOS环境下,进入C盘的操作系统目录.
操作命令集:
C:
CD C:\windows (或CD c:\winnt)

2. 查找目录中的“msblast.exe”病毒文件。
命令操作集:
dir msblast.exe /s/p

3.找到后进入病毒所在的子目录,然后直接将该病毒文件删除。
Del msblast.exe

二、 在安全模式下清除病毒
如果用户手头没有DOS启动盘,还有一个方法,就是启动系统后进入安全模式,然后搜索C盘,查找msblast.exe文件,找到后直接将该文件删除,然后再次正常启动计算机即可。

给系统打补丁方案:

当用户手工清除了病毒体后,应上网下载相应的补丁程序,用户可以先进入微软网站,下载相应的系统补丁,给系统打上补丁。以下是补丁的具体下载地址:
· Windows 2000 :
http://microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F-220354449117&displaylang=en   (连接到第三方网站)

· Windows XP 32 位版本 :
http://microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=en   (连接到第三方网站)

用户也可以直接登陆瑞星网址:
http://it.rising.com.cn/newSite/Channels/info/virus/TopicDatabasePackage/12-145900547.htm来下载相应的微软补丁程序。

 

1. 断开网络连接;

2. 终止蠕虫程序的msblast.exe进程:对于Windows 95/98/ME系统,按CTRL+ALT+DELETE;对于Windows NT/2000/XP系统,按CTRL+SHIFT+ESC,选择进程标签页;

3. 在运行的程序列表中, 查找MSBLAST.EXE进程并终止此进程;

4. 点击"开始"à"运行",输入 Regedit,点击"确认"按钮,打开注册表管理器窗口;

5. 展开注册表的下列项目:

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run

6. 在窗口右边的列表中删除键值:Windows auto update = MSBLAST.EXE

病毒防范:
如果你无法安装系统补丁,


在防火墙中禁止端口 69、135、4444:端口 135 用于启动与远程计算机的 RPC 连接。在防火墙中禁止端口 135 有助于防止有人企图利用此漏洞攻击防火墙后面的系统。

Internet 连接防火墙:如果您使用 Windows XP 或 Windows Server 2003 中的 Internet 连接防火墙功能来帮助保护您的 Internet 连接,则默认情况下,它将禁止来自 Internet 的入站 RPC 通信。
在所有未打补丁的计算机上禁用 DCOM:当计算机属于某个网络的一部分时,DCOM 网络协议可使该计算机上的 COM 对象能够与其他计算机上的 COM 对象通信。您可以对特定的计算机禁用 DCOM 以帮助防范他人利用此漏洞发动的攻击,但这将使该计算机上的对象无法与其他计算机上的对象通信。如果在远程计算机上禁用 DCOM,则无法远程访问该计算机以重新启用 DCOM。
0
相关文章