查殺病毒/衝擊波病毒是以什麼方式傳播的?

出自 Tw.18dao.net
前往: 導覽搜尋

  衝擊波(Worm.Blaster)病毒介紹

  病毒運行時會不停地利用IP掃描技術尋找網路上系統為Win2K或XP的電腦,找到後就利用DCOM RPC緩衝區漏洞攻擊該系統,一旦攻擊成功,病毒體將會被傳送到對方電腦中進行感染,使系統操作異常、不停重啟、甚至導致系統崩潰。另外,該病毒還會對微軟的一個升級網站進行拒絕服務攻擊,導致該網站堵塞,使用戶無法通過該網站升級系統。在8月16日以後,該病毒還會使被攻擊的系統喪失更新該漏洞補丁的能力。

  衝擊波(Worm.Blaster)病毒檔案

  警惕程度:★★★★

  發作時間:隨機

  病毒類型:蠕蟲病毒

  傳播途徑:網路/PRC漏洞

  依賴系統: WINDOWS 2000/XP

  病毒介紹:

  該病毒於8月12日被瑞星全球反病毒監測網率先截獲。病毒運行時會不停地利用IP掃描技術尋找網路上系統為Win2K或XP的電腦,找到後就利用DCOM RPC緩衝區漏洞攻擊該系統,一旦攻擊成功,病毒體將會被傳送到對方電腦中進行感染,使系統操作異常、不停重啟、甚至導致系統崩潰。另外,該病毒還會對微軟的一個升級網站進行拒絕服務攻擊,導致該網站堵塞,使用戶無法通過該網站升級系統。在8月16日以後,該病毒還會使被攻擊的系統喪失更新該漏洞補丁的能力。

  病毒的發現與清除:

  1. 病毒通過微軟的最新RPC漏洞進行傳播,因此用戶應先給系統打上RPC補丁,補丁位址:   http://it.rising.com.cn/newSite/Channels/info/virus/TopicDatabasePackage/12-145900547.htm

  2. 病毒運行時會建立一個名為:“BILLY”的互斥量,使病毒自身不重複進入記憶體,並且病毒在記憶體中建立一個名為:“msblast”的進程,用戶可以用任務管理器將該病毒進程終止。

  3. 病毒運行時會將自身複製為:%systemdir%\msblast.exe,用戶可以手動刪除該病毒檔。

  注意:%Windir%是一個變數,它指的是作業系統安裝目錄,默認是:“C:\Windows”或:“c:\Winnt”,也可以是用戶在安裝作業系統時指定的其他目錄。%systemdir%是一個變數,它指的是作業系統安裝目錄中的系統目錄,默認是:“C:\Windows\system”或:“c:\Winnt\system32”。

  4. 病毒會修改註冊表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run項,在其中加入:"windows auto update"="msblast.exe",進行自啟動,用戶可以手工清除該鍵值。

  5. 病毒會用到135、4444、69等埠,用戶可以使用防火牆軟體將這些埠禁止或者使用“TCP/IP篩選” 功能,禁止這些埠。

關于“查殺病毒/衝擊波病毒是以什麼方式傳播的?”的用戶留言:

目前暫無留言

新增相關留言✍