沖擊波病毒發(fā)作現象:
沖擊波(Worm.Blaster)病毒是利用微軟公司在7月21日公布的RPC漏洞進行傳播的,只要是計算機上有RPC服務并且沒有打安全補丁的計算機都存在有RPC漏洞,具體涉及的操作系統是:Windows2000、XP、Server 2003。
該病毒感染系統后,會使計算機產生下列現象:系統資源被大量占用,有時會彈出RPC服務終止的對話框,并且系統反復重啟,不能收發(fā)郵件、不能正常復制文件、無法正常瀏覽網頁,復制粘貼等操作受到嚴重影響,DNS和IIS服務遭到非法拒絕等。下面是彈出RPC服務終止的對話框的現象:
電腦開機是顯示還有60秒就關機就是沖擊波病毒的具體表現和危害。
沖擊波病毒特點和中毒表現說明:
1、病毒運行時會將自身復制到window目錄下,并命名為: msblast.exe。
2、病毒運行時會在系統中建立一個名為:“BILLY”的互斥量,目的是病毒只保證在內存中有一份病毒體,為了避免用戶發(fā)現。
3、病毒運行時會在內存中建立一個名為:“msblast.exe”的進程,該進程就是活的病毒體。
4、病毒會修改注冊表,在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中添加以下鍵值:“windows auto update”=“msblast.exe”,以便每次啟動系統時,病毒都會運行。
5、病毒體內隱藏有一段文本信息:
I just want to say LOVE YOU SAN??!
billy gates why do you make this possible ? Stop making money and fix your software?。?/p>
6、病毒會以20秒為間隔,每20秒檢測一次網絡狀態(tài),當網絡可用時,病毒會在本地的UDP/69端口上建立一個tftp服務器,并啟動一個攻擊傳播線程,不斷地隨機生成攻擊地址,進行攻擊,另外該病毒攻擊時,會首先搜索子網的IP地址,以便就近攻擊。
7、當病毒掃描到計算機后,就會向目標計算機的TCP/135端口發(fā)送攻擊數據。
8、當病毒攻擊成功后,便會監(jiān)聽目標計算機的TCP/4444端口作為后門,并綁定cmd.exe。然后蠕蟲會連接到這個端口,發(fā)送tftp命令,回連到發(fā)起進攻的主機,將msblast.exe傳到目標計算機上并運行。
9、當病毒攻擊失敗時,可能會造成沒有打補丁的Windows系統RPC服務崩潰,Windows XP系統可能會自動重啟計算機。該蠕蟲不能成功攻擊Windows Server2003,但是可以造成Windows Server2003系統的RPC服務崩潰,默認情況下是系統反復重啟。
10、病毒檢測到當前系統月份是8月之后或者日期是15日之后,就會向微軟的更新站點“windowsupdate.com”發(fā)動拒絕服務攻擊,使微軟網站的更新站點無法為用戶提供服務。
手工清除方案:
一、 DOS環(huán)境下清除該病毒:
1、當用戶中招出現以上現象后,用DOS系統啟動盤啟動進入DOS環(huán)境下,進入C盤的操作系統目錄。
操作命令集:
2、查找目錄中的“msblast.exe”病毒文件。
命令操作集:
3、找到后進入病毒所在的子目錄,然后直接將該病毒文件刪除。
Del msblast.exe
二、 在安全模式下清除病毒
如果用戶手頭沒有DOS啟動盤,還有一個方法,就是啟動系統后進入安全模式,然后搜索C盤,查找msblast.exe文件,找到后直接將該文件刪除,然后再次正常啟動計算機即可。
給系統打補丁方案:
當用戶手工清除了病毒體后,應上網下載相應的補丁程序,用戶可以先進入微軟網站,下載相應的系統補丁,給系統打上補丁。以下是補丁的具體下載地址
以上便是關于沖擊波病毒感染后的發(fā)作現象和清除沖擊波病毒的方法,微軟推送給用戶的重要補丁是有根據的,假若沖擊波大范圍進行感染,微軟其龐大的用戶群已更新了補丁,那沖擊波病毒就無路可走。
三、沖擊波病毒專殺工具
沖擊波病毒專殺工具(RPC漏洞蠕蟲專用查殺工具) v3.0
360殺毒、
金山毒霸等安全軟件都能很好的消滅沖擊波病毒。