“冲击波”病毒的完整解决方案 9 t& M a9 T7 r0 g* v; K* e) I7 g9 E
1.说明:6 K# O2 @8 N: t2 ?) v( C
“冲击波”病毒只会对winNT核心的操作系统有影响,就是说对winnt系列、win2K系列、win2K3系列、win XP系列有影响,而对win98和win95无影响。* \$ X' ]6 d3 Z3 \6 ^; h
2.现象:& I9 Q& F1 t @! M
①系统强行重新启动--提示类似“Remote Procedure Call(RPC)服务意外终止,windows必须立即重新启动。”& f o1 c) I o4 i4 Q; K
②无法复制粘贴。
* T8 F% T7 J- ]. h, |5 u3.预防方法(没有中毒时使用)0 L' S: `0 ^, W8 `5 S) ^
方法一:更新所有的补丁+ d# a+ }) f n3 `9 z+ s
建议使用 http://windowsupdate.microsoft.com 下载全部关键更新并升级而不单独下载补丁,这样可以对一次修复很多漏洞8 \6 J) `1 _' Q' j& z" e
适合于任何版本的操作系统的方法!
% p4 e% x& S0 |8 I2 M: N& gIE->工具->windows update-> Windwos update 目录->查找 Microsoft Windows 操作系统的更新 -> 选择系统和版本 ->重要更新 ->找到最后
! m- H# M( `* `7 D( o一个(Windows Server 2003 安全更新程序 (823980) - (发布日期: July 15, 2003) )并添加7 z( O1 V: y& A2 f
再转到下载篮子,选择下载目录,自己运行!OK!* l8 t$ U, g4 R8 n! Z
方法二:只更新关键更新
/ G) u# q* k, h2 L% ~Microsoft Security Bulletin MS03-026
& b7 B9 S. M6 `3 O0 S YBuffer Overrun In RPC Interface Could Allow Code Execution (823980): Y4 {: ^% r- |0 n2 Z
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp4 j. ]( A# Y" [8 h, z
4.杀毒方法(中毒的情况下使用)
; H- g0 Q2 \+ `3 G步骤1:更新操作系统的补丁并且禁止病毒程序的进程
/ e4 `" y3 U7 Z. N- x! _2 @请按照操作系统版本下载相应的补丁。
: U0 T4 d7 j J(即Microsoft Security Bulletin MS03-026 )
9 Y% ~9 y0 y, w8 a( ]建议使用 http://windowsupdate.microsoft.com 下载全部关键更新并升级而不单独下载补丁,这样可以对一次修复很多漏洞2 a+ M9 I, Y( F' c
①安装RPC补丁。即http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp
( x9 p4 K m( y' c②在任务管理器中中止msblast.exe进程% D& s( ?0 Q8 M
③删除system32\msblast.exe: Z3 l+ }6 _9 }7 k/ ?
④清除注册表的下列条目8 p) R3 q0 G4 `. g8 ?9 D
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
+ s4 e4 e8 N3 T. q ]"windows auto update"="msblast.exe"
$ i8 G& C, e, {5 U& s步骤2: 杀毒
( z1 \0 m; o/ ] ~" p金山毒霸组已经推出专杀,看 http://www.duba.net/download/3/91.shtml
- ]! N" p4 z% Z& @瑞星的专杀工具地址:http://download.rising.com.cn/zsgj/ravzerg.exe( S( E+ ?, n# C; N) X1 u
注意:这些专杀工具只能杀当天以前的“冲击波”,对新的变种无效!所以尽可能保持杀毒软件的最新版。% M/ s1 j& F) Z2 b+ m/ b* I7 s
Symantec分析报告:+ K# n* u0 l) R4 L$ u
http://securityresponse.symantec.com/avcenter/venc/data/backdoor.irc.cirebot.html3 {# X) A* Y" o
5.更彻底的解决办法:
0 B2 z" A% J1 P7 e①在防火墙上封堵 不必要的端口
8 R1 ~7 Y. W# Q( Q. e% I; b135端口用于启动与远程计算机的 RPC 连接。连接到Internet的计算机应当在防火墙上封堵 135 端口,用以帮助防火墙内的系统防范通过) W: z) m$ g9 w+ t* G- [
利用此漏洞进行的攻击。
% K3 x% V: p0 U) e2 z使用防火墙关闭所有不必要的端口,漏洞不仅仅影响135端口,还影响到大部分调用DCOM函数的服务端口,建议用户使用网络或是个人防火
% b& ^0 n, F$ f. B O' B墙过滤以下端口:- v& c V) l3 ?/ | g8 n
135/TCP epmap
0 W9 l: o/ P$ x S: m! ^3 E6 z& x, c135/UDP epmap
1 U# J9 o9 x" d( J! @; [139/TCP netbios-ssn* M! d1 O4 A! i$ C* x
139/UDP netbios-ssn
3 E" \; t( W$ _* A& t9 h445/TCP microsoft-ds
9 W. r- q8 Y& m8 w3 g8 s445/UDP microsoft-ds
- s& p% w' b0 H8 ~6 W8 x593/TCP http-rpc-epmap
* X9 [: D4 s' K, s$ z593/UDP http-rpc-epmap
0 o8 v& f' ?" b/ [2 w& {" Y! N有关为客户端和服务器保护 RPC 的详细信息,请访问:
: |, |/ K5 e+ z+ A' Ghttp://msdn.microsoft.com/library/default.asp?url=/library/en-us/rpc/rpc/writing_a_secure_rpc_client_or_server.asp
+ B- U7 p6 {! l' x有关 RPC 使用的端口的详细信息,请访问:9 S( y( z8 S; Z; C
http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/tcpip/part4/tcpappc.asp
" A! ]/ y7 W; o/ r4 a; y% y实际还可以这么做:
8 S! w; i% ]- Y& ~) S( Ya.先在任务管理器中将 msblast.exe 进程杀掉,之后将windows安装目录下的system32文件夹下的msblast.exe删除9 D7 E. E2 a5 a% f4 m
b.运行SERVICS.MSC找到remote procedure call(RPC).并双击,然后在恢复选项卡里面选择,恢复,选择服务失败时的计算机反映,并将第一次失败、第二次失败、第三次失败的选项选择为不操作。
- m+ i- f5 ~- q/ ?②手动为计算机启用(或禁用) DCOM:" W' o4 ]& |6 a2 ]2 h
运行 Dcomcnfg.exe。6 |. X) R$ S- u" `" f* h2 c
如果您在运行 Windows XP 或 Windows Server 2003,则还要执行下面这些步骤:) ?4 R z+ M( j' S4 D( `
单击“控制台根节点”下的“组件服务”。
" g" m4 k+ Q! r8 `* e打开“计算机”子文件夹。+ _' e) q' ^. u" B% Z' \
对于本地计算机,请以右键单击“我的电脑”,然后选择“属性”。$ A% U+ H) T0 } `7 Y* ]+ C. @. |
对于远程计算机,请以右键单击“计算机”文件夹,然后选择“新建”,再选择“计算机”。) L u' g: j: C- r2 U u) {( E |5 p: Y
输入计算机名称。以右键单击该计算机名称,然后选择“属性”。
2 j2 E' E- x: j' Z8 f选择“默认属性”选项卡。& ?( X- }& M) N, a5 x
选择(或清除)“在这台计算机上启用分布式 COM”复选框。0 g, j: i0 X9 q
6.小结:. C- l: |, v- h% I' Y
这是汇总很多网络文章总结而成,只是希望对大家有益。总结于2003.8.13 15:10,请注意如果日期相隔太久,病毒一旦产生变种,这里的杀毒软件可能失效,但是方法不变。( o- k3 G7 u* i1 Z. ^
|
发表于 2005-9-4 10:36
| 
