警惕程度:★★★★發作時間:隨機病毒類型:蠕蟲病毒傳播途徑:網絡/RPC漏洞依賴系統: Microsoft Windows NT 4.0 / Microsoft Windows 2000 / Microsoft Windows XP /Microsoft Windows Server 2003 病毒介紹:該病毒於8月12日被瑞星全球反病毒監測網率先截獲。病毒運行時會不停地利用IP掃描技術尋找網絡上系統為Win2K或XP的計算機,找到後就利用DCOM RPC緩沖區漏洞攻擊該系統,一旦攻擊成功,病毒體將會被傳送到對方計算機中進行感染,使系統操作異常、不停重啟、甚至導致系統崩潰。另外,該病毒還會對微軟的一個升級網站進行拒絕服務攻擊,導致該網站堵塞,使用戶無法通過該網站升級系統。在8月16日以後,5自學網,該病毒還會使被攻擊的系統喪失更新該漏洞補丁的能力。病毒的發現與清除:1. 病毒通過微軟的最新RPC漏洞進行傳播,因此用戶應先給系統打上RPC補丁,補丁地址: 病毒運行時會建立一個名為:“BILLY”的互斥量,使病毒自身不重復進入內存,並且病毒在內存中建立一個名為:“msblast”的進程,用戶可以用任務管理器將該病毒進程終止。3. 病毒運行時會將自身復制為:%systemdir%\msblast.exe,用戶可以手動刪除該病毒文件。注意:%Windir%是一個變量,它指的是操作系統安裝目錄,默認是:“C:\Windows”或:“c:\Winnt”,也可以是用戶在安裝操作系統時指定的其它目錄。%systemdir%是一個變量,它指的是操作系統安裝目錄中的系統目錄,默認是:“C:\Windows\system”或:“c:\Winnt\system32”。4. 病毒會修改注冊表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run項,在其中加入:"windows auto update"="msblast.exe",進行自啟動,用戶可以手工清除該鍵值。5. 病毒會用到135、4444、69等端口,用戶可以使用防火牆軟件將這些端口禁止或者使用“TCP/IP篩選” 功能,禁止這些端口。用戶如果在自己的計算機中發現以上全部或部分現象,則很有可能中了沖擊波(Worm.Blaster)病毒。為避免用戶遭受損失,瑞星公司已於截獲該病毒當天就進行了升級,瑞星殺毒軟件2003版、瑞星在線殺毒、瑞星殺毒軟件“下載版”,這三款產品每周三次同步升級,15.48.01版已可清除此病毒,目前瑞星用戶只需及時升級手中的軟件即可徹底攔截此病毒。瑞星反病毒專家的安全建議:1. 建立良好的安全習慣。例如:對一些來歷不明的郵件及附件不要打開,不要上一些不太了解的網站、不要執行從 Internet 下載後未經殺毒處理的軟件等,這些必要的習慣會使您的計算機更安全。2. 關閉或刪除系統中不需要的服務。默認情況下,許多操作系統會安裝一些輔助服務,5自學網,如 FTP 客戶端、Telnet 和 Web 服務器。這些服務為攻擊者提供了方便,而又對用戶沒有太大用處,如果刪除它們,就能大大減少被攻擊的可能性。 3. 經常升級安全補丁。據統計,有80%的網絡病毒是通過系統安全漏洞進行傳播的,象紅色代碼、尼姆達等病毒,所以我們應該定期到微軟網站去下載最新的安全補丁,以防范未然。4. 使用復雜的密碼。有許多網絡病毒就是通過猜測簡單密碼的方式攻擊系統的,因此使用復雜的密碼,將會大大提高計算機的安全系數。5. 迅速隔離受感染的計算機。當您的計算機發現病毒或異常時應立刻斷網,以防止計算機受到更多的感染,或者成為傳播源,再次感染其它計算機。6. 了解一些病毒知識。這樣就可以及時發現新病毒並采取相應措施,在關鍵時刻使自己的計算機免受病毒破壞:如果能了解一些注冊表知識,就可以定期看一看注冊表的自啟動項是否有可疑鍵值;如果了解一些內存知識,就可以經常看看內存中是否有可疑程序。7. 最好是安裝專業的防毒軟件進行全面監控。在病毒日益增多的今天,使用毒軟件進行防毒,是越來越經濟的選擇,不過用戶在安裝了反病毒軟件之後,應該經常進行升級、將一些主要監控經常打開(如郵件監控)、遇到問題要上報, 這樣才能真正保障計算機的安全。
