冲击波病毒的病毒应对
该病毒感染系统后,会使计算机产生下列现象:系统资源被大量占用,有时会弹出RPC服务终止的对话框,并且系统反复重启,不能收发邮件、不能正常复制文件、无法正常浏览网页,复制粘贴等操作受到严重影响,DNS和IIS服务遭到非法拒绝等。如果在自己的计算机中发现以上全部或部分现象,则很有可能中了冲击波病毒。此时,计算机用户应该采取以下方式检测:
1)检查系统的system32\Wins目录下是否存在DLLHOST.EXE文件(大小为20K)和SVCHOST.EXE文件,(注意:系统目录里也有一个DLLHOST.EXE文件,但此为正常文件,大小只有8KB左右)如果存在这两个文件说明计算机已经感染了“冲击波杀手”病毒;
2)在任务管理器中查看是否有三个或三个以上DLLHOST.EXE的进程,如果有此进程说明计算机已经感染了此病毒。 1.病毒通过最新RPC漏洞进行传播,因此用户应先给系统打上RPC补丁。
2.病毒运行时会建立一个名为:“BILLY”的互斥量,使病毒自身不重复进入内存,并且病毒在内存中建立一个名为:“msblast”的进程,用户可以用任务管理器将该病毒进程终止。
3.用户可以手动删除该病毒文件。注意:%Windir%是一个变量,指的是操作系统安装目录,默认是:“C:\Windows”或:“c:\Winnt”,也可以是用户在安装操作系统时指定的其它目录。%systemdir%是一个变量,指的是操作系统安装目录中的系统目录,默认是:“C:\Windows\system”或:“c:\Winnt\system32”。
4.病毒会修改注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项,在其中加入:“windowsautoupdate”=“msblast.exe”,进行自启动,用户可以手工清除该键值。
5.病毒会用到135、4444、69等端口,用户可以使用防火墙将这些端口禁止或者使用“TCP/IP筛选”功能,禁止这些端口。
6.进入“管理工具”文件夹(在开始菜单或控制面板),运行组件服务,在左边侧栏点击“服务(本地)”,找到RemoteProcedureCall(RPC),其描述为“提供终结点映射程序(endpointmapper)以及其它RPC服务”。双击进入恢复标签页,把第一二三次操作都设为“不操作”。 1.建立良好的安全习惯。对一些来历不明的邮件及附件不要打开,不要执行下载后未杀毒处理的软件等。
2.经常升级安全补丁。据统计,大部分网络病毒是通过系统安全漏洞进行传播的,定期下载最新的安全补丁,以防范未然。
3.使用复杂的密码。有许多网络病毒就是通过猜测简单密码的方式攻击系统的,因此使用复杂的密码,将会大大提高计算机的安全系数。
4.迅速隔离受感染的计算机。当发现计算机感染病毒或异常时应立刻断网,以防止计算机受到更多的感染,或者成为传播源,再次感染其它计算机。
5.安装专业的防毒软件进行全面监控。在病毒日益增多的今天,使用杀毒软件进行防毒,是越来越经济的选择,用户在安装了反病毒软件之后,应经常进行升级、将一些主要监控经常打开(如邮件监控),这样才能真正保障计算机的安全。
