金山毒霸关于“冲击波”病毒的完全解决方案

　　一、提防“冲击波”病毒

　　“冲击波”病毒Worm.msBlast是第一个利用RPC漏洞进行攻击和传染的病毒！受影响的系统包括：WindowsNT4.0、Windows2000、WindowsXP和Windows2003系列产品，有意思的是 一直被人诟病的Windows98和WindowsME由于未采用RPC机制幸免于难。

　　二、什么是RPC漏洞

　　Remote Procedure Call (RPC)是Windows操作系统使用的一种远程过程调用协议，RPC提供进程间交互通信机制，允许在某台计算机上运行的程序无缝地在远程系统上执行代码。Microsoft的RPC部分在通过TCP/IP处理信息交换时存在问题，远程攻击者可以利用这个漏洞以本地系统权限在系统上执行任意指令。

　　此漏洞是由于不正确处理畸形消息所致，漏洞影响使用RPC的DCOM接口。此接口处理由客户端机器发送给服务器的DCOM对象激活请求(如UNC路径)。攻击者成功利用此漏洞可以以本地系统权限执行任意指令。攻击者可以在系统上执行任意操作，如安装程序、查看或更改、删除数据或建立系统管理员权限的帐户。

　　通俗地说：利用这个漏洞，一个攻击者可以随意在远程计算机上执行任何指令！！！

　　三、被攻击的机器有哪些现象

　　1、莫名其妙地死机或重新启动计算机；

　　2、IE浏览器不能正常地打开链接；

　　3、不能复制粘贴；

　　4、有时出现应用程序，比如Word异常；

　　5、网络变慢；

　　6、最重要的是，在任务管理器里有一个叫“msblast.exe”的进程在运行！

　　四、如何解决

　　任何紧张和恐惧都是不解决问题的，虽然严重但也绝对没到删除所有文件，格式化硬盘的地步！使用以下几步就可以解决：

　　1、首要是给系统打补丁，亡羊补牢尤未晚已。

　　关于这个漏洞的介绍：www.microsoft.com/china/technet/security/bulletin/MS03-026.asp

　　下载补丁：

　　Windows2000简体中文版download.microsoft.com/download/2/8/1/281c0df6-772b-42b0-9125-6858b759e977/Windows2000-KB823980-x86-CHS.exe

　　WindowsXP简体中文版download.microsoft.com/download/a/a/5/aa56d061-3a38-44af-8d48-85e42de9d2c0/WindowsXP-KB823980-x86-CHS.exe

　　Windows2000英文版download.microsoft.com/download/0/1/f/01fdd40f-efc5-433d-8ad2-b4b9d42049d5/Windows2000-KB823980-x86-ENU.exe

　　WindowsXP英文版download.microsoft.com/download/9/8/b/98bcfad8-afbc-458f-aaee-b7a52a983f01/WindowsXP-KB823980-x86-ENU.exe

　　2、然后下载专杀工具清除：

　　下载金山毒霸“冲击波”专杀工具http://www.duba.net/download/3/91.shtml

　　3、升级反病毒软件

　　五、对于已经感染而不能打开补丁链接的问题：

　　可以这么解决：方法1、先打开IE浏览器，把补丁链接复制到浏览器的地址栏里就可以下载了。如果不幸复制粘贴也不能用了，那只好照着上面的内容在地址栏里输入了；方法2、打开网络蚂蚁或网络快车，把上面的地址复制或输入到下载的任务里就行了。

　　六、怎么知道我是否成功地打上了这个补丁？

　　根据微软的定义，这个安全修补程序的代号为kb823980，我们要检查的就是这一项。

　　打开注册表编辑器。不知道怎么打开？在开始菜单上执行“运行”命令，输入“regedit"(不要引号)。

　　在注册表编辑器的窗口里又分左右两个窗格，我们先看左窗格。这个东西和资源管理器是非常相像的，只不过它有一些类似HKEY_。。。这样的条目，我们只看HKEY_LOCAL_MACHINE这一条(这里面的东东实在太多了，就不罗索了)。

　　展开这一条，找到里面的SOFTWARE，然后再展开，找到Microsoft，依次分别：

　　1、对于WindowsNT4.0：找到Updates，Windows NT，SP6，看看里面有没有kb823980

　　2、对于Windows2000：找到Updates，Windows 2000，SP5，看看里面有没有kb823980

　　3、对于WindowsXP：

　　找到Updates，Windows XP，SP1，看看里面有没有kb823980

　　4、对于WindowsXP SP1：找到Updates，Windows XP，SP2，看看里面有没有kb823980

　　如果找到，那就说明已经打上补丁了。如果没有，那就只有再来一次啦。

　　七、假如以上方法还不能解决问题，请立刻致电金山公司：

　　金山已经开通“冲击波”病毒紧急救助电话：800-8105770；

　　金山"冲击波"病毒短信救助，发送内容："毒霸：＊＊＊(病毒问题或者电脑故障描述)"，移动用户发短信到9008，联通用户发短信到6008

　　金山反病毒资讯网www.duba.net将24小时提供最新病毒咨询和服务。

　　江民发布“冲击波”(又名“暴风雨”)病毒技术分析报告

　　病毒名称：I-Worm/Blaster

　　病毒别名：W32.Blaster.Worm,W32/Lovsan.worm ,Worm.MSblaster,MBlast

　　病毒类型：网络蠕虫

　　病毒长度：6,176 bytes

　　危险级别：高

　　影响平台：Windows 2000, Windows XP

　　感染对象：

　　相关文件：Msblast.exe

　　病毒描述：该蠕虫病毒利用TCP 135端口，通过DCOM RPC漏洞进行攻击。

　　在此病毒代码内隐藏一段文本信息：

　　I just want to say LOVE YOU SAN!!billy gates why do you make this possible ? Stop making money and fix your software!!

　　当此病毒感染计算机系统后，执行如下操作：

　　1.创建一个线程“BILLY”

　　2.修改注册表：[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]增加"windows auto update"="msblast.exe"键值，使得病毒可以在系统启动时自动运行。

　　3.然后按照一定的规则来攻击网络上特点段的机器。

　　该随机段IP段的机器的所有135端口发布攻击代码，成功后，在TCP的端口4444创建cmd.exe该病毒还能接受外界的指令，在UDP的端口69上接受指令，发送文件Msblast.exe网络蠕虫主体。

　　4.发送指令到远程计算机，使其连接被感染的主机，下载并运行Msblast.exe文件。

　　5.如果是8月以后或者当前的系统日期是15号以后，此病毒还试图拒绝windowsupdate.com服务，以使计算机系统失去更新补丁程序的功能。

　　解决方案：(1)安装微软系统补丁：2003年7月微软发布：DCOM RPC漏洞http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp

　　(2)处理：

　　关闭TCP端口135

　　关闭TCP端口4444

　　关闭UDP端口69

　　(3)及时升级KV系列反病毒软件，打开实时监控。

　　冲击波病毒“中招”用户无法正常上网安全专家教你怎么搞定

　　8月12日“冲击波”病毒在国内泛滥，仅12日一天瑞星公司技术支持部门就接到上千个企事业单位局域网瘫痪的求助电话，并推出紧急上门救援的服务。瑞星杀毒软件已经在12日晚上紧急升级并发布了免费的专杀工具。到目前为止，这个病毒仍然在国内肆虐，“中招”用户数量巨大、难以统计。

　　目前最严重的问题是，已经“中招”的用户怎么办？

　　被“冲击波”病毒感染的机器，最常见的现象就是系统在启动1分钟后就反复重启，用户这时候根本就没有时间上网去下载专杀工具或打补丁，那该怎么办呢？瑞星反病毒专家告诉你一个办法，让你在一分钟之内搞定系统。用户在进行以下操作时，必须先将网络断开，以防止计算机重复感染。

　　一、使用启动盘，在DOS环境下清除病毒。

　　1.当用户中招出现以上现象后，用DOS系统启动盘启动进入DOS环境下，进入C盘的操作系统目录.

　　操作命令集：

　　C:

　　CD C:\windows (或CD c:\winnt)

　　2.查找目录中的“msblast.exe”病毒文件。

　　命令操作集：

　　dir msblast.exe /s/p

　　3.找到后进入病毒所在的子目录，然后直接将该病毒文件删除。

　　Del msblast.exe

　　二、进入安全模式，手工清除病毒

　　如果用户手头没有DOS启动盘，还有一个方法，就是启动系统后进入安全模式，然后搜索C盘，查找msblast.exe文件，找到后直接将该文件删除，然后再次正常启动计算机即可。

　　三、当用户手工清除了病毒体后，应上网下载相应的补丁程序，用户可以先进入微软网站，下载相应的系统补丁，给系统打上补丁。以下是补丁的具体下载地址：

　　·Windows 2000：

　　http://microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F-220354449117&displaylang=en

　　·Windows XP 32位版本：

　　microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=en

　　用户也可以直接登陆瑞星网址：

　　it.rising.com.cn/newSite/Channels/info/virus/TopicDatabasePackage/12-145900547.htm来下载相应的微软补丁程序。

　　注意：如果用户在手工清除完病毒后，在去上网下载补丁包时，计算机再次感染病毒并重启，这时就只能再次用手工清除该病毒，然后通过没感染该病毒的计算机下载相应的补丁，给系统打补丁，然后再做其它操作。

　　四、打完补丁后，用户应下载一个瑞星专杀工具：http://it.rising.com.cn/service/technology/RS_blaster.htm，再次清除一下系统。如果是瑞星的用户，在打完补丁后可直接到瑞星网站将瑞星杀毒软件升级到最新版，打开实时监控即可。

　　详细信息请随时查询瑞星官方网站www.rising.com.cn，也可以随时拨打瑞星反病毒急救电话：010-82678800进行咨询，情况较为紧急的企事业单位用户请拨打瑞星紧急救援小组上门服务热线：010-82678866-552。

　　东方卫士可靠截杀“冲击波”病毒

　　8月12日上午9：30，一种在美国已感染了数千台计算机的病毒-Win32/Blaster.worm.6176，被东方卫士快速反病毒小组国内率先截获，东方卫士反病毒专家提交了该病毒的解决方案，并升级了病毒库。交大铭泰公司提醒国内计算机用户，请尽快升级东方卫士系列产品到最新病毒库，即可对此病毒进行有效防杀。

　　东方卫士反病毒专家介绍，Win32/Blaster.worm.6176病毒是一种网络蠕虫，交大铭泰公司截获到的病毒样本大小为6176字节，感染的操作系统为WINDOWS2000和XP系统。病毒会下载并运行病毒文件Msblast.exe，最终会导致机器停止响应。

　　病毒运行时，建立线程名称：BILLY;

　　修改系统注册表键值：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　增加的项目是windows auto update数值msblast.exe

　　这样系统每次重新启动后，该蠕虫都能自动运行。

　　然后，病毒按照一定的规则来攻击网络上特定段的机器。向随机的IP段的机器的所有135端口发布攻击代码，成功后，在TCP的端口4444创建cmd.exe，

　　此病毒还能接受外界的指令，在UDP的端口69上接受指令，发送文件Msblast.exe网络蠕虫主体。当机器的日期是8月份以后或者每月的15日以后，会攻击微软的补丁升级网站"Windowsupdate.com"实施DoS攻击。

　　交大铭泰公司目前已接到多个用户来电反应该情况。

　　解决方案：

　　一、立即升级病毒库引擎到最新更新日期2003.08.12，如果不能及时升级，也可以全网开启安全码体系。

　　二、没有防毒软件的用户可以手动进行修补次漏洞。

　　(1)安装微软系统补丁：2003年7月微软发布：DCOM RPC漏洞www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp

　　1.本地下载FoxWindowXP补丁dfvs.sunv.com/download/WindowsXP-KB823980-x86-CHS.exe

　　2.本地下载FoxWindow2000补丁dfvs.sunv.com/download/Windows2000-KB823980-x86-CHS.exe

　　(2)处理：

　　关闭TCP端口135

　　关闭TCP端口4444

　　关闭UDP端口69

　　用户忠告：

　　鉴于最近利用系统漏洞的新病毒有大幅度增加的趋势，为了能够及时有效地防范病毒，交大铭泰公司建议用户在升级杀毒软件的同时还应该密切关注系统安全信息，及时做系统更新。为了使广大用户能及时了解相关系统安全资讯，从随时关注东方卫士信息安全网站(www.i110.com)。

　　请用户赶紧升级东方卫士2003版、网络版或东方卫士在线版等版本，如遇到异常情况，也可以随时拨打东方卫士服务热线电话：010-62501955-611或800免费热线咨询电话：8008109600进行咨询，东方卫士反病毒专家将为您提供全方位的技术支持与服务！

　　绝对大奖！订非常笑话短信，送数码摄像机！
　　注册新浪9M全免费邮箱
　　新概念英语 口语 出国考试 考研暑期限时优惠
　　无数人梦寐以求的境界，亲密接触，激烈搏杀，包你爽上“天堂”