冲击波的病毒资料和查杀方法

冲击波worm.blaster病毒资料及查杀方法警惕程度：★★★★发作时间：随机病毒类型：蠕虫病毒传播途径：网络/RPC漏洞依赖系统:WINDOWS2000/XP病毒介绍：病毒运行时会不停地利用IP扫描技术寻找网络上系统为Win2K或XP的计算机，找到后就利用DCOMRPC缓冲区漏洞攻击该系统，一旦攻击成功，病毒体将会被传送到对方计算机中进行感染，使系统操作异常、不停重启、甚至导致系统崩溃。另外，该病毒还会对微软的一个升级网站进行拒绝服务攻击，导致该网站堵塞，使用户无法通过该网站升级系统。在8月16日以后，该病毒还会使被攻击的系统丧失更新该漏洞补丁的能力。病毒的发现与清除：1.病毒通过微软的最新RPC漏洞进行传播，因此用户应先给系统打上RPC补丁，补丁地址：病毒运行时会建立一个名为：“BILLY”的互斥量，使病毒自身不重复进入内存，并且病毒在内存中建立一个名为：“msblast”的进程，用户可以用任务管理器将该病毒进程终止。3.病毒运行时会将自身复制为：%systemdir%\msblast.exe,用户可以手动删除该病毒文件。注意：%Windir%是一个变量，它指的是操作系统安装目录，默认是：“C:\Windows”或：“c:\Winnt”,也可以是用户在安装操作系统时指定的其它目录。%systemdir%是一个变量，它指的是操作系统安装目录中的系统目录，默认是：“C:\Windows\system”或：“c:\Winnt\system32”。4.病毒会修改注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项，在其中加入：windowsautoupdate=msblast.exe，进行自启动，用户可以手工清除该键值。5.病毒会用到135、4444、69等端口，用户可以使用防火墙软件将这些端口禁止或者使用“TCP/IP筛选”功能，禁止这些端口。用户如果在自己的计算机中发现以上全部或部分现象，则很有可能中了冲击波（Worm.Blaster）病毒。手工清除方案：以下操作一律在断开网络的环境下进行1，按Ctrl+Alt+Del打开任务管理器，在任务管理器中，结束msblast.exe进程。2，在“开始”-“运行”，键入“regedit”，回车打开注册表编辑器。进入分支HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\Run,找到“windowsautoupdate”字串值，数据为“msblast.exe”，删除！3，进入windows或winnt文件夹system或system32目录，删除msblast.exe4，进入“管理工具”文件夹（在开始菜单或控制面板），运行组件服务，在左边侧栏点击“服务（本地）”，找到RemoteProcedureCall(RPC)，其描述为“提供终结点映射程序(endpointmapper)以及其它RPC服务。”。双击它，进入恢复标签页，把第一二三次操作都设为“不操作”5，还在组件服务中，在左边侧栏点击“组件服务”，双击右边的计算机，在出现的我的电脑上右键点击，进入属性，点击“默认属性”，关闭分布式COM6，在防火墙设置中关闭135，4444，66端口。（如果没有安装防火墙，用XP自带的也行）7，重启后，打开防火墙！下载微软补丁并安装。再重启，搞定！给系统打补丁方案：当用户手工清除了病毒体后，应上网下载相应的补丁程序，用户可以先进入微软网站，下载相应的系统补丁，给系统打上补丁。以下是补丁的具体下载地址：．Windows2000：Windows2000：=C8B8A846-F541-4C15-8C9F-220354449117&displaylang=en．WindowsXP32位版本：=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=en用户也可以直接登陆瑞星网址：来下载相应的微软补丁程序。中文版补丁:win2000=zh-cn&FamilyID=C8B8A846-F541-4C15-8C9F-220354449117winxp(32位)=zh-cn&FamilyID=2354406C-C5B6-44AC-9532-3DE40F69C074