沖擊波病毒和震蕩波一樣都屬于通過RPC漏洞傳播的病毒，不知道大家是否記得倒計(jì)時(shí)關(guān)機(jī)！這就是沖擊波的一個(gè)大的表現(xiàn)，那么沖擊波病毒主要有什么特點(diǎn)，具體危害、如何防范？還有中毒后要如何徹底清除呢？學(xué)習(xí)到以下內(nèi)容，你將不再懼怕沖擊波病毒。



沖擊波病毒發(fā)作現(xiàn)象：

沖擊波（Worm.Blaster）病毒是利用微軟公司在7月21日公布的RPC漏洞進(jìn)行傳播的，只要是計(jì)算機(jī)上有RPC服務(wù)并且沒有打安全補(bǔ)丁的計(jì)算機(jī)都存在有RPC漏洞，具體涉及的操作系統(tǒng)是：Windows2000、XP、Server 2003。

該病毒感染系統(tǒng)后，會(huì)使計(jì)算機(jī)產(chǎn)生下列現(xiàn)象：系統(tǒng)資源被大量占用，有時(shí)會(huì)彈出RPC服務(wù)終止的對(duì)話框，并且系統(tǒng)反復(fù)重啟，不能收發(fā)郵件、不能正常復(fù)制文件、無法正常瀏覽網(wǎng)頁，復(fù)制粘貼等操作受到嚴(yán)重影響，DNS和IIS服務(wù)遭到非法拒絕等。下面是彈出RPC服務(wù)終止的對(duì)話框的現(xiàn)象：

電腦開機(jī)是顯示還有60秒就關(guān)機(jī)就是沖擊波病毒的具體表現(xiàn)和危害。

沖擊波病毒特點(diǎn)和中毒表現(xiàn)說明：

　　1、病毒運(yùn)行時(shí)會(huì)將自身復(fù)制到window目錄下，并命名為： msblast.exe。

　　2、病毒運(yùn)行時(shí)會(huì)在系統(tǒng)中建立一個(gè)名為：“BILLY”的互斥量，目的是病毒只保證在內(nèi)存中有一份病毒體，為了避免用戶發(fā)現(xiàn)。

　　3、病毒運(yùn)行時(shí)會(huì)在內(nèi)存中建立一個(gè)名為：“msblast.exe”的進(jìn)程，該進(jìn)程就是活的病毒體。

　　4、病毒會(huì)修改注冊(cè)表，在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中添加以下鍵值：“windows auto update”=“msblast.exe”，以便每次啟動(dòng)系統(tǒng)時(shí)，病毒都會(huì)運(yùn)行。

　　5、病毒體內(nèi)隱藏有一段文本信息：

　　I just want to say LOVE YOU SAN??！

　　billy gates why do you make this possible ？ Stop making money and fix your software??！

　　6、病毒會(huì)以20秒為間隔，每20秒檢測(cè)一次網(wǎng)絡(luò)狀態(tài)，當(dāng)網(wǎng)絡(luò)可用時(shí)，病毒會(huì)在本地的UDP/69端口上建立一個(gè)tftp服務(wù)器，并啟動(dòng)一個(gè)攻擊傳播線程，不斷地隨機(jī)生成攻擊地址，進(jìn)行攻擊，另外該病毒攻擊時(shí)，會(huì)首先搜索子網(wǎng)的IP地址，以便就近攻擊。

　　7、當(dāng)病毒掃描到計(jì)算機(jī)后，就會(huì)向目標(biāo)計(jì)算機(jī)的TCP/135端口發(fā)送攻擊數(shù)據(jù)。

　　8、當(dāng)病毒攻擊成功后，便會(huì)監(jiān)聽目標(biāo)計(jì)算機(jī)的TCP/4444端口作為后門，并綁定cmd.exe。然后蠕蟲會(huì)連接到這個(gè)端口，發(fā)送tftp命令，回連到發(fā)起進(jìn)攻的主機(jī)，將msblast.exe傳到目標(biāo)計(jì)算機(jī)上并運(yùn)行。

　　9、當(dāng)病毒攻擊失敗時(shí)，可能會(huì)造成沒有打補(bǔ)丁的Windows系統(tǒng)RPC服務(wù)崩潰，Windows XP系統(tǒng)可能會(huì)自動(dòng)重啟計(jì)算機(jī)。該蠕蟲不能成功攻擊Windows Server2003，但是可以造成Windows Server2003系統(tǒng)的RPC服務(wù)崩潰，默認(rèn)情況下是系統(tǒng)反復(fù)重啟。

　　10、病毒檢測(cè)到當(dāng)前系統(tǒng)月份是8月之后或者日期是15日之后，就會(huì)向微軟的更新站點(diǎn)“windowsupdate.com”發(fā)動(dòng)拒絕服務(wù)攻擊，使微軟網(wǎng)站的更新站點(diǎn)無法為用戶提供服務(wù)。

手工清除方案：

一、 DOS環(huán)境下清除該病毒：

　　1、當(dāng)用戶中招出現(xiàn)以上現(xiàn)象后，用DOS系統(tǒng)啟動(dòng)盤啟動(dòng)進(jìn)入DOS環(huán)境下，進(jìn)入C盤的操作系統(tǒng)目錄。

　　操作命令集：

　　2、查找目錄中的“msblast.exe”病毒文件。

　　命令操作集：

　　3、找到后進(jìn)入病毒所在的子目錄，然后直接將該病毒文件刪除。

　　Del msblast.exe

二、 在安全模式下清除病毒

　　如果用戶手頭沒有DOS啟動(dòng)盤，還有一個(gè)方法，就是啟動(dòng)系統(tǒng)后進(jìn)入安全模式，然后搜索C盤，查找msblast.exe文件，找到后直接將該文件刪除，然后再次正常啟動(dòng)計(jì)算機(jī)即可。

　　給系統(tǒng)打補(bǔ)丁方案：

　　當(dāng)用戶手工清除了病毒體后，應(yīng)上網(wǎng)下載相應(yīng)的補(bǔ)丁程序，用戶可以先進(jìn)入微軟網(wǎng)站，下載相應(yīng)的系統(tǒng)補(bǔ)丁，給系統(tǒng)打上補(bǔ)丁。以下是補(bǔ)丁的具體下載地址

　　以上便是關(guān)于沖擊波病毒感染后的發(fā)作現(xiàn)象和清除沖擊波病毒的方法，微軟推送給用戶的重要補(bǔ)丁是有根據(jù)的，假若沖擊波大范圍進(jìn)行感染，微軟其龐大的用戶群已更新了補(bǔ)丁，那沖擊波病毒就無路可走。

三、沖擊波病毒專殺工具

沖擊波病毒專殺工具(RPC漏洞蠕蟲專用查殺工具) v3.0

360殺毒、

金山毒霸等安全軟件都能很好的消滅沖擊波病毒。