近段时间，针对冲击病毒在站上机子上很猖獗.我收拢了一些资料,看能不能对大家有些帮助.以下是关于"冲击波"利用系统漏洞和病毒体的描述：

"冲击波"是windowsRPC溢出漏洞的蠕虫病毒,这个特定的漏洞影响使用RPC的分布式组件对象模型(DCOM)界面（它在TCP/IP 135端口监听）。这个接口处理客户机（例如通用命名惯例（UNC）路径）发送给服务器的DCOM对象激活请求。成功利用这个漏洞的攻击者可以在受影响机器上以本地系统权限运行代码。攻击者可以在系统中采取任何行为，包括安装程序，浏览>更改或删除数据，或以完全权限创建新帐号。如果要利用这个漏洞，攻击者必须向远程机器的135端口发送特殊格式的请求。

针对此漏洞的蠕虫病毒称为“冲击波病毒”（MSBlast、Lovsan Worm、DCOM Worm），该病毒利用RPC漏洞传播，感染主机成功之后会不断往外发送更多的135端口请求，造成网络拥塞，占用带宽，影响用户网络的正常使用，由于该病毒并不需要通过邮件等方式传播，而是自动寻找有漏洞的主机，所以传播速度非常快。尽管近期“冲击波”蠕虫病毒的杀伤力正在逐渐减弱。不过 “冲击波”蠕虫病毒的新一代变种可能会修正目前的一些错误，并将以更快的速度传播。这将会对全球互联网络个人用户和企业用户带来更大的安全隐患。

受影响系统：

Microsoft Windows NT
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows 2003

检查是否中了蠕虫病毒（未变种病毒）：

1、检查系统的%systemroot%\system32目录下是否存在msblast.exe文件。请在命令提示符中按
照下面键入：
C:\>dir %systemroot%\system32\msblast.exe
如果被感染，那么您可以看到类似的显示结果：

C:\>dir %systemroot%\system32\msblast.exe
驱动器 C 中的卷是 sys
卷的序列号是 A401-04A9

C:\WINNT\system32 的目录 2003-08-12 03:03 6,176 msblast.exe
1 个文件 6,176 字节
0 个目录 2,701,848,576 可用字节

2、检查注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run。请
在命令提示符中按照下面键入：

C:\>regedit /e tmp.txt HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
C:\>type tmp.txt
如果被感染，那么您可以看到类似的显示结果：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"windows auto update"="msblast.exe"

3、在任务管理器中查看是否有msblast.exe的进程。如果有，说明蠕虫正在您的系统上运行。

预防蠕虫感染（为系统打补丁）：

简体中文windows2000：

http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=C8B8A846-F541-4C15-8C9F-220354449117

简体中文windowsNT4：

http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=2CC66F4E-217E-4FA7-BDBF-DF77A0B9303F

windowsNT4（terminal server edtion）：

http://www.microsoft.com/downloads/details.aspx?FamilyId=6C0F0160-64FA-424C-A3C1-C9FAD2DC65CA&displaylang=en

简体中文windows xp 32位版本：

http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=2354406C-C5B6-44AC-9532-3DE40F69C074

windows xp 64位版本：

http://www.microsoft.com/downloads/details.aspx?FamilyId=1B00F5DF-4A85-488F-80E3-C347ADCC4DF1&displaylang=en

简体中文windows2003 32位版本：

http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=F8E0FF3A-9F4C-4061-9009-3A212458E92E

windows2003 64位版本：

http://www.microsoft.com/downloads/details.aspx?FamilyId=2B566973-C3F0-4EC1-995F-017E35692BC7&displaylang=en

清除蠕虫（未变种版本）：

（1）手工清除蠕虫：

1、按照上述"预防蠕虫感染"的方法安装补丁。
2、点击左下角的"开始"菜单，选择"运行"，在其中键入"taskmgr"，点击"确定"。这样就启动了
任务管理器。在其中查找msblast.exe进程，找到后在进程上单击右键，选择"结束进程"，点
击"是"。
3、删除系统目录下的msblast.exe。
4、点击左下角的"开始"菜单，选择"运行"，在其中键入"regedit"，点击"确定"。这样就启动注册表编辑器。在注册表中找到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run，
删除其下的"windows auto update"="msblast.exe"。
5、重新启动系统。

（2）下载杀毒软件（不一定对全部变种病毒有效）：

http://download.rising.com.cn/zsgj/ravblaster.exe

2、利用RPC溢出和WEB DAV溢出的蠕虫病毒（冲击波变种）

最近网上有一种针对MS03-026 Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞和Microsoft Windows 2000 WebDAV远程缓冲区溢出漏洞的蠕虫正在活跃，该蠕虫会发送大量ICMP数据包，阻塞正常网络通信，危害很大。


受影响的软件及系统：


Microsoft Windows 2000

Microsoft Windows XP

Microsoft Windows 2003



这是一个针对MS03-026 Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞http://www.nsfocus.net/index.php?act=sec_bug&do=view&bug_id=5147）和Microsoft Windows 2000 WebDAV远程缓冲区溢出漏洞

http://www.nsfocus.net/index.php?act=sec_bug&do=view&bug_id=4554）的蠕虫。因为该漏洞影响所有没有安装MS03-026补丁的Windows 2000、Windows XP、Windows 2003系统，不仅是服务器，也包括个人计算机在内，所以危害极大。由于发送的ICMP流量很大，可导致网络阻塞。这是蠕虫的主要危害。一旦找到存活主机，就会尝试用DCOM RPC溢出。溢出成功后监听本机随机的一个小于1000的TCP端口，等待目标主机回连。蠕虫会检测系统时间，如果系统时间是2004年，就自动清除自身。

有趣的是，该蠕虫运行的时候会判断内存中是否有msblast蠕虫的进程，如果有就将其清除，如果 system32目录下有msblast.exe文件，就删除。

解决方法：


我建议你们这样做：


* 检测是否被蠕虫感染：


检查系统的%systemroot%\system32\wins\目录下是否存在dllhost.exe和svchost.exe文件，

如果有，则说明您已经被感染。


*暂时禁用DCOM



1、先断开网络连接，然后重新启动系统。


2、保持网络连接是断开的。点击左下角的“开始”菜单，选择“运行”，在其中键入

“dcomcnfg”，点击“确定”，这样就打开了DCOM配置工具。（可能会出现几个弹出窗口的

提示，可以一律点击确定。）


3、在“默认属性”页，取消“在这台计算机上启用分布式COM”的复选框。然后点击“确定”。


4、这样我们就禁用了DCOM，您的系统不再受蠕虫的影响，您可以连上网络继续下面的安装补

丁等操作，但是在安装完补丁之后，最好再启用DCOM，因为我们不知道您系统上是否有某些

应用依赖于DCOM。


* 安装补丁：


安装Windows 2000 SP4http://www.microsoft.com/Windows2000/downloads/servicepacks/sp4/download.asp）

以及RPC漏洞补丁（与冲击波病毒补丁相同）


安装补丁后您需要重新启动系统才能使补丁生效，如有可能，请在下载完补丁后断

开网络连接再安装补丁。


* 清除蠕虫


如果发现系统已经被蠕虫感染，我们建议您按照以下步骤手工清除蠕虫：


1、按照上述方法安装补丁。


2、点击左下角的“开始”菜单，选择“运行”，在其中键入“cmd”，点击“确定”。

这样就启动了命令提示符。在其中键入：

net stop RpcPatch

net stop RpcTftpd


3、删除%systemroot%\system32\wins\svchost.exe和%systemroot%\system32\wins\dllhost.exe。


4、点击左下角的“开始”菜单，选择“运行”，在其中键入“regedit”，点击“确定”。

这样就启动注册表编辑器。在注册表中删除键：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcPatch

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcTftpd

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcTftpd

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcPatch


5、重新启动系统。


也可利用蠕虫检测系统时间，自动清除自身的特性，将系统时间改到2004年，然后重新启动

系统，再将时间改回来。


* 针对蠕虫发送大量ICMP导致的网络阻塞解决建议


可暂时在网络设备上禁止或者限制ICMP ECHO数据包。由于蠕虫发送的ICMP报文的源IP都是真

实的，可通过在Sniffer上设定过滤规则，捕获大小为92字节的ICMP ECHO数据包，统计源IP，

即可了解网络中那些系统被蠕虫感染，并采取相应措施。



我的一点建议:

最好是大家重装系统,然后做一份ghost备份．不会做的可以买一张还原卡（２０元左右）装上．杀毒软件最好用瑞星最新版本，http://www.abcbit.com/rising/index.php）免费下载和使用．上网同时打开瑞星监控中心．在计算机上任何修改配置和注册表的行为监控中心都提示你，并要得到你的同意才能生效．另外我提议大家用用超级兔子软件清理垃圾文件＼注册表无用数据＼优化系统＼整理内存等

我用norton，啥事也没有。

dingding chuo shui