冲击波病毒

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。


ቤተ መጻሕፍቲ ባይዱ
解决方法
病毒清除
1.病毒通过最新RPC漏洞进行传播,因此用户应先给系统打上 RPC补丁。 2.病毒运行时会建立一个名为:“BILLY”的互斥量,使病毒自身 不重复进入内存,并且病毒在内存中建立一个名为:“msblast” 的进程,用户可以用任务管理器将该病毒进程终止。 3.用户可以手动删除该病毒文件。注意:%Windir%是一个变量, 指的是操作系统安装目录,默认是:“C:\Windows”或:“c: \Winnt”,也可以是用户在安装操作系统时指定的其它目录。 %systemdir%是一个变量,指的是操作系统安装目录中的系统目 录,默认是:“C:\Windows\system”或:“c: \Winnt\system32”。

病毒特点
1.主动攻击:蠕虫在本质上已经演变为黑客入侵的自动化工具,当蠕 虫被释放后,从搜索漏洞,到利用搜索结果攻击系统,到复制副本, 整个流程全由蠕虫自身主动完成。
2.利用系统、网络应用服务漏洞:计算机系统存在漏洞是蠕虫传播的 前提,利用这些漏洞,蠕虫获得被攻击的计算机系统的相应权限,完 成后继的复制和传播过程。正是由于漏洞产生原因的复杂性,导致面 对蠕虫的攻击防不胜防。

感染征兆
1、莫名其妙地死机或重新启动计算机; 2、IE浏览器不能正常地打开链接; 3、不能复制粘贴; 4、有时出现应用程序,比如Word异常; 5、网络变慢; 6、最重要的是,在任务管理器里有一个叫“msblast.exe”的进程 在运行! 7、SVCHOST.EXE产生错误会被WINDOWS关闭,您需要重新启 动程序 8、在WINNT\SYSTEM32\WINS\下有DLLhost.exe和svchost.exe

解决方法
病毒清除
4.病毒会修改注册表的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run项,在其中加入: “windowsautoupdate”=“msblast.exe”,进行自启动,用户可以 手工清除该键值。 5.病毒会用到135、4444、69等端口,用户可以使用防火墙将这些端 口禁止或者使用“TCP/IP筛选”功能,禁止这些端口。 6.进入“管理工具”文件夹(在开始菜单或控制面板),运行组件服 务,在左边侧栏点击“服务(本地)”,找到RemoteProcedureCall (RPC),其描述为“提供终结点映射程序(endpointmapper)以及 其它RPC服务”。双击进入恢复标签页,把第一二三次操作都设为 “不操作”。
冲击波病毒
简介 病毒特点
病毒征兆 病毒检测 病毒清除
简介
冲击波蠕虫(Worm.Blaster或Lovesan,也有译为 “疾风病毒”)是一种散播于Microsoft操作系统, Windows XP与Windows 2000的蠕虫病毒,爆发于2003年 8月。本蠕虫第一次被注意并如燎原火般散布,是在2003年 的8月11日。它不断繁植并感染,在8月13日达到高峰,之后 借助ISP与网络上散布的治疗方法阻止了此蠕虫的散布。在 2003年8月29日,一个来自美国明尼苏达州的18岁年轻人 Jeffrey Lee Parson由于创造了Blaster.B变种而被逮捕;他 在2005年被判处十八个月的有期徒刑。

病毒特点
3.造成网络拥塞:蠕虫进行传播的第一步就是找到网络上其它存在漏 洞的计算机系统,这需要通过大面积的搜索来完成,搜索动作包括: 判断其它计算机是否存在;判断特定应用服务是否存在;判断漏洞是 否存在。这不可避免的会产生附加的网络数据流量。即使是不包含破 坏系统正常工作的恶意代码的蠕虫,也会因为病毒产生了巨量的网络 流量,导致整个网络瘫痪,造成经济损失。 4.反复性:即使清除了蠕虫在文件系统中留下的任何痕迹,如果没有 修补计算机系统漏洞,重新接入到网络中的计算机还是会被重新感染。 5.破坏性:从蠕虫的历史发展过程可以看到,越来越多的蠕虫开始包 含恶意代码,破坏被攻击的计算机系统,而且造成的经济损失数目越 来越大。

解决方法
病毒检测
1)检查系统的system32\Wins目录下是否存在DLLHOST.EXE文 件(大小为20K)和SVCHOST.EXE文件,(注意:系统目录里 也有一个DLLHOST.EXE文件,但此为正常文件,大小只有8KB 左右)如果存在这两个文件说明计算机已经感染了“冲击波杀手” 病毒; 2)在任务管理器中查看是否有三个或三个以上DLLHOST.EXE的 进程,如果有此进程说明计算机已经感染了此病毒。

谢谢 观看

相关文档
最新文档