“沖擊波”病毒的完整解決方案 1.說明: “沖擊波”病毒只會對winNT核心的操作系統有影響,就是說對winnt系列、win2K系列、win2K3系列、win XP系列有影響,而對win98和win95無影響。 2.現象: ①系統強行重新啟動--提示類似“Remote Procedure Call(RPC)服務意外終止,windows必須立即重新啟動。” ②無法復制粘貼。 3.預防方法(沒有中毒時使用) 方法一:更新所有的補丁 建議使用 下載全部關鍵更新並升級而不單獨下載補丁,這樣可以對一次修復很多漏洞 適合於任何版本的操作系統的方法! IE->工具->windows update-> Windwos update 目錄->查找 Microsoft Windows 操作系統的更新 -> 選擇系統和版本 ->重要更新 ->找到最後 一個(Windows Server 2003 安全更新程序 (823980) - (發布日期: July 15, 2003) )並添加 再轉到下載籃子,5自學網,選擇下載目錄,自己運行!OK! 方法二:只更新關鍵更新 Microsoft Security Bulletin MS03-026 Buffer Overrun In RPC Interface Could Allow Code Execution (823980) ?url=/technet 4.殺毒方法(中毒的情況下使用) 步驟1:更新操作系統的補丁並且禁止病毒程序的進程 請按照操作系統版本下載相應的補丁。 (即Microsoft Security Bulletin MS03-026 ) 建議使用 下載全部關鍵更新並升級而不單獨下載補丁,這樣可以對一次修復很多漏洞 ①安裝RPC補丁。即?url=/technet ②在任務管理器中中止msblast.exe進程 ③刪除system32/msblast.exe ④清除注冊表的下列條目 [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run] "windows auto update"="msblast.exe" 步驟2: 殺毒 金山毒霸組已經推出專殺,看 瑞星的專殺工具地址: 注意:這些專殺工具只能殺當天以前的“沖擊波”,對新的變種無效!所以盡可能保持殺毒軟件的最新版。 Symantec分析報告: 5.更徹底的解決辦法: ①在防火牆上封堵 不必要的端口 135端口用於啟動與遠程計算機的 RPC 連接。連接到Internet的計算機應當在防火牆上封堵 135 端口,用以幫助防火牆內的系統防范通過 利用此漏洞進行的攻擊。 使用防火牆關閉所有不必要的端口,漏洞不僅僅影響135端口,還影響到大部分調用DCOM函數的服務端口,自學教程,建議用戶使用網絡或是個人防火 牆過濾以下端口: 135/TCP epmap 135/UDP epmap 139/TCP netbios-ssn 139/UDP netbios-ssn 445/TCP microsoft-ds 445/UDP microsoft-ds 593/TCP http-rpc-epmap 593/UDP http-rpc-epmap 有關為客戶端和服務器保護 RPC 的詳細信息,請訪問: ?url=/library/en-us/rpc/rpc/writing_a_secure_rpc_client_or_server.asp 有關 RPC 使用的端口的詳細信息,請訪問: 實際還可以這麼做: a.先在任務管理器中將 msblast.exe 進程殺掉,之後將windows安裝目錄下的system32文件夾下的msblast.exe刪除 b.運行SERVICS.MSC找到remote procedure call(RPC).並雙擊,然後在恢復選項卡裡面選擇,恢復,選擇服務失敗時的計算機反映,並將第一次失敗、第二次失敗、第三次失敗的選項選擇為不操作。 ②手動為計算機啟用(或禁用) DCOM: 運行 Dcomcnfg.exe。 如果您在運行 Windows XP 或 Windows Server 2003,則還要執行下面這些步驟: 單擊“控制台根節點”下的“組件服務”。 打開“計算機”子文件夾。 對於本地計算機,請以右鍵單擊“我的電腦”,然後選擇“屬性”。 對於遠程計算機,請以右鍵單擊“計算機”文件夾,然後選擇“新建”,再選擇“計算機”。 輸入計算機名稱。以右鍵單擊該計算機名稱,然後選擇“屬性”。 選擇“默認屬性”選項卡。 選擇(或清除)“在這台計算機上啟用分布式 COM”復選框。 6.小結: 這是匯總很多網絡文章總結而成,只是希望對大家有益。好軟件總結於2003.8.13 15:10,請注意如果日期相隔太久,病毒一旦產生變種,這裡的殺毒軟件可能失效,但是方法不變。 【轉自
