分类分类
关注+2004-10-08作者:蓝点
8月18日中午,金山反病毒中心又截获了一个利用RPC漏洞进行传播的病毒“冲击波杀手”(Worm.KillMsBlast)。
据金山反病毒中心介绍:该病毒可以实时杀死“冲击波”(Worm.Msblast)病毒,并在系统内种下预防“冲击波”病毒的简易疫苗,而且还会尝试从微软网站上下载补丁程序,将受感染的系统打上补丁。该病毒在做完“好事”之后便会开启上百的线程疯狂探测IP地址,并通过RPC漏洞快速传播自己,消耗大量CPU和网络资源,并且有可能会导致系统死机。最后,该病毒设定在2004年自毁。
利用RPC漏洞疯狂传染的“冲击波”已经给全球网络用户造成了非常多的麻烦,相信中毒用户都有切身感受。这次“冲击波杀手”表面上“以毒攻毒”似乎是在做“好事”,但是作者幼稚的近乎“异想天开”。因为该变种病毒不但要攻击RPC漏洞,还会将自身复制到%system%\Wins文件夹下,创建FTP服务和Wins Client服务。其中FTP服务开启系统的FTP功能用于传播病毒。“冲击波杀手”感染一台机器后就会使用Ping命令或ICMP echo方式探测随机产生的IP地址是否有效,如果有效便开始进行攻击。该病毒会在受感染的系统中随机使用666-765端口与攻击系统进行连接。该病毒还会检查系统版本和微软补丁包的版本号,然后根据不同的操作系统尝试从微软下载有关RPC漏洞的补丁程序,并自动运行补丁程序,给系统打上RPC漏洞的补丁。
病毒作者所运用手法极端得近乎疯狂,该病毒发作后会开启上百个线程、在PING到有效的IP地址之后就会向该IP发起攻击并传播,所以该病毒传播更有效,速度更快,而且一发作便会消耗尽所有的CPU资源从而导致机器运行缓慢直至系统瘫痪。总之“冲击波杀手”给用户造成的危害将是“冲击波”的几倍。不过升级了系统以及修补了RPC漏洞的用户不会再被该病毒感染。
金山毒霸已经于当日紧急更新了病毒库,金山毒霸系列产品的用户只需升级最新的病毒库即可查杀“冲击波杀手”以及其他“冲击波”的最新变种。同时不能上网的用户用金山发放的“冲击波”完全解决方案光盘进行系统升级也可以避免受此病毒的攻击。
中了“冲击波杀手”的现象是:
1、莫名其妙地死机或提示倒计时重新启动计算机;
2、IE浏览器不能正常地打开链接;
3、不能复制粘贴;
4、有时出现应用程序,比如Word异常;
5、系统速度变慢;
6、网络速度下降;
7、系统中有一个名为Dllhost.exe的进程,如图:
8、查看系统服务中可能会有名为 RpcTftpd 和 RpcPatch的服务
金山毒霸解决方案:
1、 立即更新金山毒霸到最新
金山毒霸企业用户请更新服务端病毒库,然后统一升级所有客户端和统一查杀
金山网镖用户可使用网镖设置防火墙规则,禁用PING,如图:
2、使用金山“冲击波”专杀工具
金山“冲击波”专杀工具专杀利用RPC漏洞进行传播的病毒和“冲击波”家族系列病毒;
3、更新微软最新补丁程序
http://www.microsoft.com/china/technet/security/bulletin/MS03-026.asp
手工清除方法:(因其有关步骤可能造成系统的不稳定,所以建议普通用户尽量采用以上的毒霸解决方案)
1、停止病毒开启的服务
病毒开启的服务名为: RpcTftpd和: RpcPatch
2、断开网络,结束进程中的Dllhost.exe进程
3、更新微软最新补丁程序
http://www.microsoft.com/china/technet/security/bulletin/MS03-026.asp
4、删除C:\WINNT\System32\wins\(C:\Windows\System32\wins)文件夹下的Dllhost.exe和svchost.exe文件
5、使用网镖或其它防火墙拦截
设置防火墙规则
禁用PING
相关文章
更多+相同厂商
热门推荐
点击查看更多
点击查看更多
点击查看更多
说两句网友评论