衝擊波(Worm Blaster)病毒詳細解決方案

2021-04-09 09:44:27 字數 2120 閱讀 9528

病毒名稱:worm.blaster

病毒型別:蠕蟲病毒

傳播途徑:網路/rpc漏洞

依賴系統:microsoft windows nt 4.0 / microsoft windows 2000 / microsoft windows xp /microsoft windows server 2003 

病毒尺寸:6,176 位元組

病毒發作現象:

衝擊波(worm.blaster)病毒是利用微軟公司在7月21日公布的rpc漏洞進行傳播的,只要是計算機上有rpc服務並且沒有打安全補丁的計算機都存在有rpc漏洞,具體涉及的作業系統是:windows2000、xp、server 2003。

該病毒感染系統後,會使計算機產生下列現象:系統資源被大量占用,有時會彈出rpc服務終止的對話方塊,並且系統反覆重啟, 不能收發郵件、不能正常複製檔案、無法正常瀏覽網頁,複製貼上等操作受到嚴重影響,dns和iis服務遭到非法拒絕等。下面是彈出rpc服務終止的對話方塊的現象:

此主題相關如下:

病毒詳細說明:

1. 病毒執行時會將自身複製到window目錄下,並命名為: msblast.exe。

2. 病毒執行時會在系統中建立乙個名為:「billy」的互斥量,目的是病毒只保證在記憶體中有乙份病毒體,為了避免使用者發現。

3. 病毒執行時會在記憶體中建立乙個名為:「msblast.exe」的程序,該程序就是活的病毒體。

4. 病毒會修改登錄檔,在hkey_local_machine/software/microsoft/windows/currentversion/run中新增以下鍵值:"windows auto update"="msblast.exe",以便每次啟動系統時,病毒都會執行。

5. 病毒體內隱藏有一段文字資訊:

i just want to say love you san!!

billy gates why do you make this possible ? stop ****** money and fix your software!!

6. 病毒會以20秒為間隔,每20秒檢測一次網路狀態,當網路可用時,病毒會在本地的udp/69埠上建立乙個tftp伺服器,並啟動乙個攻擊傳播執行緒,不斷地隨機生成攻擊位址,進行攻擊,另外該病毒攻擊時,會首先搜尋子網的ip位址,以便就近攻擊。

7. 當病毒掃瞄到計算機後,就會向目標計算機的tcp/135埠傳送攻擊資料。

8. 當病毒攻擊成功後,便會監聽目標計算機的tcp/4444埠作為後門,並繫結cmd.exe。然後蠕蟲會連線到這個埠,傳送tftp命令,回連到發起進攻的主機,將msblast.exe傳到目標計算機上並執行。

9. 當病毒攻擊失敗時,可能會造成沒有打補丁的windows系統rpc服務崩潰,windows xp系統可能會自動重啟計算機。該蠕蟲不能成功攻擊windows server2003,但是可以造成windows server2003系統的rpc服務崩潰,預設情況下是系統反覆重啟。

10. 病毒檢測到當前系統月份是8月之後或者日期是15日之後,就會向微軟的更新站點"windowsupdate.com"發動拒絕服務攻擊,使微軟**的更新站點無法為使用者提供服務。

手工清除方案: 

一、 dos環境下清除該病毒:

1.當使用者中招出現以上現象後,用dos系統啟動盤啟動進入dos環境下,進入c盤的作業系統目錄.

操作命令集:

c:cd c:/windows (或cd c:/winnt)

2. 查詢目錄中的「msblast.exe」病毒檔案。

命令操作集:

dir msblast.exe /s/p

3.找到後進入病毒所在的子目錄,然後直接將該病毒檔案刪除。

del msblast.exe

二、 在安全模式下清除病毒

如果使用者手頭沒有dos啟動盤,還有乙個方法,就是啟動系統後進入安全模式,然後搜尋c盤,查詢msblast.exe檔案,找到後直接將該檔案刪除,然後再次正常啟動計算機即可。

給系統打補丁方案:

(連線到第三方**)

· windows xp 32 位版本 :

(連線到第三方**)

RPC簡介以及衝擊波介紹

什麼是rpc漏洞?英文原義 remote procedure call protocol 中文釋義 rfc 1831 遠端過程呼叫協議 註解 一種通過網路從遠端電腦程式上請求服務,而不需要了解底層網路技術的協議。rpc協議假定某些傳輸協議的存在,如 tcp或 udp,為通訊程式之間攜帶資訊資料。在 ...

用access list 對抗「衝擊波」病毒

最近 衝擊波 病毒 worm msblast.a 開始在國內網際網路和部分專網上傳播。我以前在接入層做的access list起了作用!access list 120 deny 53 any any access list 120 deny 55 any any access list 120 de...