冲击波病毒,“冲击波”病毒的完整解决方案

“冲击波”病毒的完整解决方案 - 电脑安全 - 电脑教程网

“冲击波”病毒的完整解决方案

日期:2007-06-06   荐:
  “冲击波”病毒的完整解决方案 1.说明: “冲击波”病毒只会对winNT核心的操作系统有影响,就是说对winnt系列、win2K系列、win2K3系列、win XP系列有影响,而对win98和win95无影响。 2.现象: ①系统强行重新启动--提示类似“Remote Procedure Call(RPC)服务意外终止,windows必须立即重新启动。” ②无法复制粘贴。 3.预防方法(没有中毒时使用) 方法一:更新所有的补丁 建议使用 http://windowsupdate.microsoft.com 下载全部关键更新并升级而不单独下载补丁,这样可以对一次修复很多漏洞 适合于任何版本的操作系统的方法! IE->工具->windows update-> Windwos update 目录->查找 Microsoft Windows 操作系统的更新 -> 选择系统和版本 ->重要更新 ->找到最后 一个(Windows Server 2003 安全更新程序 (823980) - (发布日期: July 15, 2003) )并添加 再转到下载篮子,选择下载目录,自己运行!OK! 方法二:只更新关键更新 Microsoft Security Bulletin MS03-026 Buffer Overrun In RPC Interface Could Allow Code Execution (823980) http://www.microsoft.com/technet/treeview/default.asp?url=/technethttp://security.chinaitlab.com/bulletin/MS03-026.asp 4.杀毒方法(中毒的情况下使用) 步骤1:更新操作系统的补丁并且禁止病毒程序的进程 请按照操作系统版本下载相应的补丁。 (即Microsoft Security Bulletin MS03-026 ) 建议使用 http://windowsupdate.microsoft.com 下载全部关键更新并升级而不单独下载补丁,这样可以对一次修复很多漏洞 ①安装RPC补丁。即http://www.microsoft.com/technet/treeview/default.asp?url=/technethttp://security.chinaitlab.com/bulletin/MS03-026.asp ②在任务管理器中中止msblast.exe进程 ③删除system32/msblast.exe ④清除注册表的下列条目 [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run] "windows auto update"="msblast.exe" 步骤2: 杀毒 金山毒霸组已经推出专杀,看 http://www.duba.net/download/3/91.shtml 瑞星的专杀工具地址:http://download.rising.com.cn/zsgj/ravzerg.exe 注意:这些专杀工具只能杀当天以前的“冲击波”,对新的变种无效!所以尽可能保持杀毒软件的最新版。 Symantec分析报告: http://securityresponse.symantec.com/avcenter/venc/data/backdoor.irc.cirebot.html 5.更彻底的解决办法: ①在防火墙上封堵 不必要的端口 135端口用于启动与远程计算机的 RPC 连接。连接到Internet的计算机应当在防火墙上封堵 135 端口,用以帮助防火墙内的系统防范通过 利用此漏洞进行的攻击。 使用防火墙关闭所有不必要的端口,漏洞不仅仅影响135端口,还影响到大部分调用DCOM函数的服务端口,建议用户使用网络或是个人防火 墙过滤以下端口: 135/TCP epmap 135/UDP epmap 139/TCP netbios-ssn 139/UDP netbios-ssn 445/TCP microsoft-ds 445/UDP microsoft-ds 593/TCP http-rpc-epmap 593/UDP http-rpc-epmap 有关为客户端和服务器保护 RPC 的详细信息,请访问: http://msdn.microsoft.com/library/default.asp?url=/library/en-us/rpc/rpc/writing_a_secure_rpc_client_or_server.asp 有关 RPC 使用的端口的详细信息,请访问: http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/tcpip/part4/tcpappc.asp 实际还可以这么做: a.先在任务管理器中将 msblast.exe 进程杀掉,之后将windows安装目录下的system32文件夹下的msblast.exe删除 b.运行SERVICS.MSC找到remote procedure call(RPC).并双击,然后在恢复选项卡里面选择,恢复,选择服务失败时的计算机反映,并将第一次失败、第二次失败、第三次失败的选项选择为不操作。 ②手动为计算机启用(或禁用) DCOM: 运行 Dcomcnfg.exe。 如果您在运行 Windows XP 或 Windows Server 2003,则还要执行下面这些步骤: 单击“控制台根节点”下的“组件服务”。 打开“计算机”子文件夹。 对于本地计算机,请以右键单击“我的电脑”,然后选择“属性”。 对于远程计算机,请以右键单击“计算机”文件夹,然后选择“新建”,再选择“计算机”。 输入计算机名称。以右键单击该计算机名称,然后选择“属性”。 选择“默认属性”选项卡。 选择(或清除)“在这台计算机上启用分布式 COM”复选框。 6.小结: 这是汇总很多网络文章总结而成,只是希望对大家有益。好软件总结于2003.8.13 15:10,请注意如果日期相隔太久,病毒一旦产生变种,这里的杀毒软件可能失效,但是方法不变。 【转自
标签: