背景:
2003年8月12日,恶性蠕虫病毒“冲击波(Worm.Blaster)”(原名“爆破工”)在中国迅速泛滥,造成全国上万台计算机感染。
损失:
据路透财经8月13日的报道,全球至少有12.4万台使用微软Windows操作系统的计算机感染了“冲击波”病毒。赛门铁克公司宣布,
截止8月19日受“冲击波”病毒感染的主机数量超过404,000台。趋势科技估计“冲击波”可能感染了全球一两亿台计算机。
业内人士分析指出,“冲击波”给全球互联网带来的直接损失将在几十亿美元左右,肯定超过今年1月份出现的“蠕虫王”病毒。
现象:
1、莫名其妙地死机或重新启动计算机或显示60秒倒计时关机;
2、IE浏览器不能正常地打开链接;
3、不能复制粘贴;
4、有时出现应用程序,比如Word异常;
5、网络变慢;
6、最重要的是,在任务管理器里有一个叫“msblast.exe”的进程在运行;
7、病毒注入量较大能使电脑瘫痪,将无法使用;
8、卡巴斯基、360、瑞星、光华杀毒软件、超级兔子无法查处40o变种木马。
传波方法:
病毒运行时会不停地利用IP扫描技术寻找网络上系统为Win2K或XP的计算机,找到后就利用DCOM RPC缓冲区漏洞攻击该系统。
破坏机制:
系统操作异常、不停重启、甚至导致系统崩溃。另外,该病毒还会对微软的一个升级网站进行拒绝服务攻击,导致该网站堵塞,
使用户无法通过该网站升级系统。该病毒还会使被攻击的系统丧失更新该漏洞补丁的能力。
杀毒方法:
1. 病毒通过微软的最新RPC漏洞进行传播,因此用户应先给系统打上RPC补丁,补丁地址:
2. 病毒运行时会建立一个名为:“BILLY”的互斥量,使病毒自身不重复进入内存,并且病毒在内存中建立一个名为:“msblast”的进程,用户可以用任务管理器将该病毒进程终止。
3. 病毒运行时会将自身复制为:%systemdir%\msblast.exe,用户可以手动删除该病毒文件。
注意:%Windir%是一个变量,它指的是操作系统安装目录,默认是:“C:\Windows”或:“c:\Winnt”,也可以是用户在安装操作系统时指定的其它目录.
4. 病毒会修改注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项,在其中加入:"windows auto update"="msblast.exe",进行自启动,用户可以手工清除该键值。
5. 病毒会用到135、4444、69等端口,用户可以使用防火墙软件将这些端口禁止或者使用“TCP/IP筛选” 功能,禁止这些端口。
