警惕“冲击波杀手”
数码时尚
近日,笔者所在单位局域网中的计算机连续遭到攻击。笔者发现计算机在被狂Ping的同时,网络速度也急剧下降,整个单位的局域网几乎陷入瘫痪状态。
何为“冲击波杀手”
抓狂中的笔者终于在互联网上查到了造成此次网络瘫痪的“罪魁祸首”,它便是第12个利用RPC漏洞进行传播的蠕虫病毒,被命名为“冲击波杀手”(Worm.Welchia)。
“冲击波杀手”可以实时杀死“冲击波”(Worm.Blaster)病毒,并在系统内种下预防“冲击波”病毒的简易疫苗。同时尝试从微软网站上下载补丁程序,将受感染的系统打上补丁。不过,病毒作者所运用的手法极端得近乎疯狂,该病毒发作后会开启成千上万个线程,在Ping到有效的IP地址之后就会向该IP发起攻击并传播,而且一发作便会消耗尽所有CPU资源从而导致机器运行缓慢直至系统瘫痪。当病毒发现当前系统时间为2004年时,就会进行自动删除。幸运的是,升级了系统以及修补了RPC漏洞的用户不会被该病毒感染。
据反病毒工程师分析,该病毒的目的是想要杀掉“冲击波”病毒,再自动消失。但由于病毒编写方面存在缺陷,病毒运行时,并不能真正地给用户系统打上补丁,也不能完全将“冲击波”病毒杀掉。而且该病毒还会在传播过程中导致网络交通堵塞,造成大面积的网络瘫痪。
感染系统:Windows 2000/XP
传播途径:①利用TCP 端口135,攻击的系统是Windows XP、Windows 2000;②在TCP的80端口,利用WebDav漏洞,攻击对象是开放了Web(80)端口的IIS5.0的机器。
感染方式:发送ICMP响应信号,或者发送Ping命令来探测互联网上存在的机器,然后利用在135端口存在的漏洞来发送病毒文件。
染毒症状:
①莫名其妙地死机或重启计算机;
②IE浏览器不能正常打开链接;
③不能复制粘贴;
④出现应用程序异常,比如Word异常;
⑤系统速度变慢,网络瘫痪;
⑥系统中有一个名为Dllhost.exe的进程。
解决措施
1.停止“Network connections Sharing”服务。在命令提示符中,输入NET STOP“Network Connections Sharing”后回车,系统就会中止该服务。用同样的方法可将“WINS Client”服务中止;
2.停止病毒开启的RpcTftpd和RpcPatch服务,在注册表“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services”中删除子键“RpcPatch”和“RpcTftpd”;
3.断开网络,结束进程中的Dllhost.exe进程;
4.删除C:\WinNT(或Windows)\System32\wins文件夹下的Dllhost.exe和Svchost.exe文件;
5.及时更新微软最新补丁程序,下载地址为http://www.microsoft.com/china/technet/security/bulletin/ms03-026.asp;
6.使用防火墙拦截设置防火墙规则,即禁用Ping。
除上述方法外,大家还可通过修改系统时间到2004年使病毒自毁。
提醒:大家在面对“冲击波杀手”的入侵时,应该及时升级手中的杀毒软件进行防毒,以免系统和网络遭受劫难。