科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道恶性"冲击波"病毒清除常见问题一问一答

恶性"冲击波"病毒清除常见问题一问一答

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

可以这么解决:方法1、先打开IE浏览器,把补丁链接复制到浏览器的地址栏里就可以下载了。如果不幸复制粘贴也不能用了,那只好照着上面的内容在地址栏里输入了。

作者:金山 来源:金山 2008年12月4日

关键字: 冲击波查杀 冲击波专杀 冲击波 病毒 病毒0811 冲击波手动查杀

  • 评论
  • 分享微博
  • 分享邮件
  一、我打不开补丁的链接:

   可以这么解决:方法1、先打开IE浏览器,把补丁链接复制到浏览器的地址栏里就可以下载了。如果不幸复制粘贴也不能用了,那只好照着上面的内容在地址栏里输入了;方法2、打开网络蚂蚁或网络快车,把上面的地址复制或输入到下载的任务里就行了。

  二、如果我的机器有问题,怎样打补丁

  任何紧张和恐惧都是不解决问题的,虽然严重但也绝对没到删除所有文件,格式化硬盘的地步!使用以下几步就可以解决:

  1 、第一步给系统打补丁,防治病毒的再次入侵。

   关于这个漏洞的介绍:http://www.microsoft.com/china/technet/security/bulletin/MS03-026.asp

   下载补丁:

   Windows2000简体中文版http://download.microsoft.com/download/2/8/1/281c0df6-772b-42b0-9125-6858b759e977/Windows2000-KB823980-x86-CHS.exe

   WindowsXP简体中文版http://download.microsoft.com/download/a/a/5/aa56d061-3a38-44af-8d48-85e42de9d2c0/WindowsXP-KB823980-x86-CHS.exe

   Windows2000英文版http://download.microsoft.com/download/0/1/f/01fdd40f-efc5-433d-8ad2-b4b9d42049d5/Windows2000-KB823980-x86-ENU.exe

   WindowsXP英文版http://download.microsoft.com/download/9/8/b/98bcfad8-afbc-458f-aaee-b7a52a983f01/WindowsXP-KB823980-x86-ENU.exe

  2、升级反病毒软件,打开防火墙,彻底封死病毒入侵的可能性。

  3、使用专杀工具

   “冲击波”病毒专杀工具下载:http://www.duba.net/download/othertools/Duba_Sdbot.EXE

  三、我怎么知道我是不是已经打上了这个补丁?

   根据微软的定义,这个安全修补程序的代号为kb823980,我们要检查的就是这一项。

   打开注册表编辑器。不知道怎么打开?在开始菜单上执行“运行”命令,输入“regedit"(不要引号)。

   在注册表编辑器的窗口里又分左右两个窗格,我们先看左窗格。这个东西和资源管理器是非常相像的,只不过它有一些类似HKEY_。。。这样的条目,我们只看HKEY_LOCAL_MACHINE这一条(这里面的东东实在太多了,就不罗索了)。

   展开这一条,找到里面的SOFTWARE,然后再展开,找到Microsoft,依次分别:

   1、对于WindowsNT4.0: 找到 Updates,Windows NT, SP6,看看里面有没有kb823980

   2、对于Windows2000: 找到 Updates,Windows 2000,SP5,看看里面有没有kb823980

   3、对于WindowsXP: 找到 Updates,Windows XP, SP1,看看里面有没有kb823980 4、对于WindowsXP SP1:找到 Updates,Windows XP, SP2,看看里面有没有kb823980[未结束]
 
  如果找到,那就说明已经打上补丁了。如果没有,那就只有再来一次啦。

  四、我的机器是被攻击了吗?

  1、莫名其妙地死机或重新启动计算机;

  2、IE浏览器不能正常地打开链接;

  3、不能复制粘贴;

  4、有时出现应用程序,比如Word异常;

  5、网络变慢;

  6、最重要的是,在任务管理器里有一个叫“msblast.exe”的进程在运行!

  以上这些情形,如果是最近两天才出现的现象,都很有可能是由于受到了“冲击波”病毒的攻击。尤其是第六条符合,那就肯定是已经被冲击波攻击成功了,必须立刻采取杀毒、打补丁的措施。

  背景资料介绍:

  一、提防“冲击波”病毒

  “冲击波”病毒Worm.msBlast是第一个利用RPC漏洞进行攻击和传染的病毒!受影响的系统包括:WindowsNT4.0、Windows2000、WindowsXP和Windows2003系列产品,有意思的是一直被人诟病的Windows98和WindowsME由于未采用RPC机制幸免于难。

  二、什么是RPC漏洞

  Remote Procedure Call (RPC)是Windows操作系统使用的一种远程过程调用协议,RPC提供进程间交互通信机制,允许在某台计算机上运行的程序无缝地在远程系统上执行代码。Microsoft的RPC部分在通过TCP/IP处理信息交换时存在问题,远程攻击者可以利用这个漏洞以本地系统权限在系统上执行任意指令。

  此漏洞是由于不正确处理畸形消息所致,漏洞影响使用RPC的DCOM接口。此接口处理由客户端机器发送给服务器的DCOM对象激活请求(如UNC路径)。攻击者成功利用此漏洞可以以本地系统权限执行任意指令。攻击者可以在系统上执行任意操作,如安装程序、查看或更改、删除数据或建立系统管理员权限的帐户。

  通俗地说:利用这个漏洞,一个攻击者可以随意在远程计算机上执行任何指令!!!
    • 评论
    • 分享微博
    • 分享邮件
          邮件订阅

          如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

          重磅专题
          往期文章
          最新文章