RPC病毒我不怕

IT商界

周瑞

　　一日，笔者正在使用电脑，忽然弹出一个倒计时对话框，说什么“RPC……”，倒计时完毕，电脑自动重启。开头没在意，谁知过一会这个对话框又出现了，任何操作都无济于事，电脑又重启，难道是病毒！

　　用瑞星查毒，结果显示正常，立即上网下载最新的15.48.01升级包，终于查出了“凶手”，这是一种利用DCOM RPC缓冲区漏洞攻击系统的新型蠕虫病毒，专门针对Windows 2000/XP系统，中毒症状是系统操作异常、不停重启、甚至系统崩溃。另外，该病毒还会对微软的一个升级网站进行拒绝服务攻击，导致该网站堵塞，使用户无法通过该网站升级系统。

　　笔者经过摸索找到了几种防治方法，希望对朋友们有所帮助：

　　1.下载RPC补丁

　　下载地址：http://it.rising.com.cn/newsite/channels/info/virus/topicdatabasepackage/12-132300547.htm。

　　2.关闭进程

　　病毒运行时会建立一个名为“BILLY”的互斥量，使病毒自身不重复进入内存，并且病毒在内存中建立名为“msblast”的进程，可以用“Windows 任务管理器”将该进程终止。

　　3.删除病毒文件

　　病毒运行时会将自身复制为“系统目录\msblast.exe”，朋友们可以手动删除该病毒文件。“系统目录”指的是操作系统的安装目录，一般是“系统盘符\Windows”或“系统盘符\WINNT”，建议朋友们使用“开始→搜索”来定位该病毒文件。

　　4.修改注册表

　　病毒会修改注册表的“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”项，在其中加入“windows auto update”键，键值为“msblast.exe”，可以手工删除该键。

　　5.禁用某些端口

　　病毒会用到135、4444、69等端口，可以使用防火墙软件将这些端口禁用或者使用“TCP/IP筛选”功能，禁用这些端口。