金山毒霸冲击波蠕虫特杀工具v1.1绿色版

Shockwave病毒查杀工具（也称为新的八卦，邪恶的八卦，八卦等）是专门为Jinshan Duba推出的Shockwave蠕虫病毒设计的软件，它支持对计算机的快速检查以防止计算机受到计算机的攻击. 病毒并修复该病毒可能使用户告别由冲击波病毒造成的危害的漏洞. Shockwave病毒主要是由Microsoft Windows操作系统于2003年7月21日宣布的RPC漏洞传播的. 它迅速通过网络传播. 在运行期间，它将不断使用IP扫描技术来查找网络系统Win2000或XP的计算值. 一旦找到，系统将使用DCOM / RPC缓冲区漏洞进行攻击. 一旦攻击成功，病毒主体将被传输到另一方的计算机进行感染，从而导致系统异常运行，不断重启震荡波专杀工具，甚至导致系统崩溃. 此外震荡波专杀工具，该病毒还将对系统升级网站进行拒绝服务攻击，导致该网站被阻止并阻止用户通过该网站升级系统. 只要计算机具有RPC服务，并且没有对计算机应用安全补丁，就存在RPC漏洞. 涉及的操作系统是: Windows 2000 \ XP \ Server 2003 \ NT4.0，在受感染的计算机中出现以下异常现象: Word，Excel，Powerpoint等文件无法正常使用，计算机反复重启，并可能导致计算机系统崩溃.

1. 该程序免费安装，进入解压后的文件夹，双击“ Duba_Sdbot.exe”即可正常使用冲击波杀毒工具

2. 打开程序，然后在扫描路径中单击“路径...”以选择要扫描的系统磁盘，

3. 完成路径选择后，您可以独立检查扫描类型和其他属性，包括扫描内存，自动清理，扫描子目录和扫描所有文件

4. 完成以上选择后，单击“金山图标”开始冲击波病毒扫描

5. 扫描完成后，扫描结果可以显示在该程序下的文件路径中；如果不可用，则显示“找不到病毒”

1. 可以独立选择要扫描的路径

2，具有扫描内存，自动清除，扫描子目录和扫描所有文件等功能.

3. 扫描后，可以显示诸如扫描的文件夹总数，病毒数量，删除次数和错误数量之类的信息

4. 扫描完成后，它可以显示用户计算机中是否存在病毒，并可以帮助用户自动将其删除

首先，攻击原则

1. 2003年7月16日，发布了“ RPC接口中的缓冲区溢出”漏洞补丁. 该漏洞存在于RPC的一部分中，该部分处理通过TCP / IP进行的消息交换. 攻击者通过TCP135端口将特殊形式的请求发送到远程计算机，从而使攻击者可以在目标计算机上获得完全的权限并执行任意代码.

2. 该病毒充分利用了RPC / DCOM漏洞. 首先，被攻击的计算机远程执行病毒代码；其次，RPCSS服务停止响应，PRC被意外暂停，由于PRC暂停而导致一系列连锁反应. 为RPC / DCOM漏洞编写的病毒代码是整个病毒代码中最重要的部分，具有破坏性.

第二，操作与沟通

1. 计算机系统感染病毒后，该病毒将自动创建一个名为“ BILLY”的互斥线程. 当病毒检测到系统中的线程时，它将不会重复驻留在内存中，否则病毒将在内存中创建一个名为“ msblast”的进程.

2. 当病毒运行时，它将自身复制为: ％systemdir％\ msblast.exe，％systemdir％指操作系统安装目录中的系统目录，默认为C: \ Winnt \ system32;在注册表HKEY-LOCAL-MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run中，添加一个名为“ windows auto update”的启动项，其值为“ msblast.exe”，这样每次启动计算机时都会感染病毒自动加载

3. 隐藏病毒后，被病毒感染的计算机将尝试连接到20个随机IP地址，并利用RPC / DCOM漏洞攻击计算机. 完成后，病毒将休息1.8秒，然后继续扫描接下来的20个随机And攻击.

4. 具体的攻击过程如下: 受感染的计算机通过TCP135端口将攻击代码发送给那些受攻击的计算机，并且受攻击的计算机将在TCP4444端口上打开CommandShell. 同时侦听UDP69端口，当从受攻击的计算机收到一条消息，该消息允许使用DCOM RPC运行远程命令时，它将发送Msblast.exe文件并让受攻击的计算机执行该文件，而受攻击的计算机为也被感染了. 这种病毒

5. 如果当前日期是8月，或者月份日期是15日之后，则该病毒将对Windowsupdate.com发起拒绝服务攻击（DdoS）

三，病毒成分

Shockwave病毒长6176字节，是一种具有后门和蠕虫功能的混合病毒. 它包括三个组件: 蠕虫载体，TFTP服务器文件和攻击模块. 该病毒将下载并运行病毒文件msblast.exe. 此混合病毒中还隐藏了一条短信:

我只想说LOVE YOU SAN !!

比尔·盖茨为什么使这成为可能？

停止赚钱并修复您的软件！

1. 主动攻击

该蠕虫从本质上已经发展成为一种用于黑客攻击的自动化工具. 当蠕虫被释放时，从漏洞搜索到使用搜索结果攻击系统再到复制，整个过程都由蠕虫自身主动完成.

p>

2. 利用系统，网络应用服务漏洞

计算机系统中的漏洞是蠕虫传播的先决条件. 利用这些漏洞，蠕虫获得了被攻击计算机系统的相应权限，并完成了后续的复制和传播过程. 正是由于漏洞原因的复杂性，蠕虫攻击无法得到保护.

3. 导致网络拥塞

蠕虫传播的第一步是找到网络上存在漏洞的其他计算机系统. 这需要通过大面积搜索来完成. 搜索动作包括: 判断是否存在其他计算机；判断是否存在特定的应用服务；判断漏洞是否存在. 这不可避免地产生额外的网络数据流量. 甚至不包含会破坏系统正常运行的恶意代码的蠕虫，因为该病毒会产生大量的网络流量，从而导致整个网络瘫痪并造成经济损失

4. 重复性

即使清除了蠕虫在文件系统中留下的任何痕迹，如果未对计算机系统进行修补，重新连接到网络的计算机仍将被重新感染.

5. 破坏性

从蠕虫的历史发展来看，越来越多的蠕虫开始包含恶意代码，破坏了受攻击的计算机系统，造成的经济损失也在增加.

尽管此蠕虫仅能在Windows 2000和XP上传播，但它也可能导致执行RPC的操作系统（例如Windows NT，Windows XP（64位）和Windows Server 2003）不稳定. 一旦该蠕虫检测到网络上的连接（无论拨号或宽带连接），它将导致系统变得不稳定并在一分钟内显示一条消息并重新启动:

现在必须重新启动Windows，因为远程过程调用

（RPC）服务意外终止

如果您的系统被感染，则系统可能显示以下特征:

1. 重新启动

2. 使用netstat可以看到大量的tcp 135端口扫描

3. 该文件出现在系统中: ％Windir％\ system32 \ msblast.exe

4. 系统运行不正常，例如复制和粘贴功能不正常，IIS服务启动异常等.

该蠕虫试图于8月15日发起一波SYN信息泛滥，目标是Windowsupdate的端口80，以便在此网站上进行分布式拒绝服务攻击（DDoS）. 由于此蠕虫的目标是Windowsupdate（Microsoft重定向的网站）而不是Windowsupdate（Microsoft更新的网站），因此Microsoft暂时关闭了该网站，以减少此蠕虫对网站的可能影响.

此蠕虫通过DCOM远程过程调用（RPC）中的缓冲区溢出漏洞分布在受影响的操作系统上. 这个漏洞的补丁文件已经在一个月前的MS03-026和MS03-039上发布.

该蠕虫在代码中隐藏了两条信息，第一个是:

我只想说LOVE YOU SAN !!

由于这句话，该蠕虫也被称为Lovesan蠕虫.

第二:

比利·盖茨为什么使这成为可能？停止赚钱

并修复您的软件！

给比尔·盖茨的消息. 他是Microsoft的先驱，也是该蠕虫的攻击目标.

感染体征的编辑

尽管此蠕虫仅能在Windows 2000和XP上传播，但它也可能导致执行RPC的操作系统（例如Windows NT，Windows XP（64位）和Windows Server 2003）不稳定. 一旦蠕虫检测到网络上的连接（无论拨号或宽带连接），它将导致系统变得不稳定并在一分钟内显示一条消息并重新启动:

现在必须重新启动Windows，因为远程过程调用

（RPC）服务意外终止

可以通过更改重新启动服务的设置来避免Windows错误消息和重新启动情况，使用户有足够的时间删除Blaster病毒并安装漏洞补丁程序. 步骤如下:

首先，单击“开始”菜单-运行，键入“ services.msc”，然后按Enter

第二，找到“远程过程调用”服务（非RPC定位器），右键单击并选择“属性（属性）”

选择“还原”并将失败的操作选项设置为“不执行任何操作”，然后单击“确定”

第四，因为RPC是Windows的嵌入式组件，所以应该将失败的操作设置为在删除Blaster之后尽快重新启动

[另一种防止计算机重新启动的方法]

1. 点击“开始”菜单，运行，输入“ shutdown -a”，然后按Enter

2. 如果您以管理员身份登录，此方法可以成功停止重新启动（-a代表中止）

五，以上动作必须在重启消息出现后的时间内完成. 在Windows 2000中无法直接找到shutdown.exe文件，但必须从Windows 2000资源包中提取该文件.

六. 另外，此蠕虫导致的流量可能会影响运行Open Software Foundation的分布式计算环境. 该蠕虫生成的网络数据包导致DDoS到DCE，也导致DCE崩溃

7. 对于Microsoft Windows用户而言，最好的方法是不时登录Microsoft Update，以使系统保持最新状态并更新防病毒软件. Windows Update尤其重要，因为恶意软件（例如Blaster）经常使用最近发现的漏洞进行销毁，因为这种类型的新漏洞的许多用户没有时间更新修补程序

1. 检查并删除文件: ％Windir％\ system32 \ msblast.exe

2. 打开任务管理器并停止以下过程msblast.exe

3. 输入注册表（“开始->运行: regedit）并找到键值: HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run在右列中，删除以下键值: “ Windows自动更新” =“ msblast .exe “

4. 修补系统（否则它将很快再次被感染）

1. 终止计算机病毒操作. 方法如下:

打开Windows任务管理器:

Windows95 / 98 / ME系统按CTRL ＋ ALT ＋ DELETE;

在WindowsNT / 2000 / XP系统中按CTRL + SHIRT + ESC;

在正在运行的程序列表中找到进程“ MSBLAST.EXE”，然后终止该进程.

2. 删除注册表中的自启动项. 方法如下:

修改注册表:

HKEY_LOCAL_MACHINE>软件> MICROSOFT> WINDOWS> CURRENTVERSION> RUN

在右侧Windows自动更新= MSBLAST.EXE列表中查找并删除以下项目

3. 单击以下载并安装对应的RPC漏洞的修补程序

4. 过滤对端口135，端口69和端口4444的访问，以便只能执行受信任的站点和内部站点访问.

5. 运行防病毒软件对系统进行全面的病毒扫描并删除，然后重新启动计算机，再次执行病毒扫描，然后确认是否已完全删除病毒.

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-204290-1.html