590
社区成员
发帖
与我相关
我的任务
分享不看后悔!!!关于“冲击波”病毒的详细技术资料及完整解决方案!!!(二)
接上贴(一)
我在此先建议所有用户和管理员都坚持以下良好的基本安全习惯:
关闭或删除不需要的服务:
默认情况下,许多操作系统会安装不危险的辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击提供了方便之门。如果删除它们,就减少了混合型威胁用于攻击的途径,并且在补丁程序更新时也减少了要维护的服务。
如果混合型威胁利用了一个或多个网络服务,请在应用补丁程序之前禁用或禁止访问这些服务。
实施应用最新的补丁程序,特别是在运行公共服务并可通过防火墙进行访问的计算机上,如 HTTP、FTP、邮件和 DNS 服务。
使用复杂的密码,即使在受到威胁的计算机上也难以破解密码文件。这有助于在计算机的安全受到威胁时防止或限制更大的破坏。
将您的邮件服务器配置为禁止或删除包含常用于传播病毒的附件(如 .vbs、.bat、.exe、.pif 和 .scr)的电子邮件。
迅速隔离受感染的计算机以防止您的组织受到更多的威胁。执行攻击型分析并使用可靠的媒体恢复计算机。
不要打开来路不明的附件。也不要执行从 Internet 下载后未经病毒扫描的软件。如果某些浏览器漏洞未被修补,访问受到安全威胁的网站也会造成感染。
====================================
相信有很多用户受此病毒所害,在此贴出我针对此病毒的完美解决方案,希望能对你有所帮助:
1. 还原 Internet 连接
在很多情况下,不管是在 Windows 2000 还是在 XP 上,更改 Remote Call Procedure (RPC) 服务的设置可能允许你连接到 Internet,而不会关闭计算机。
要还原 PC 的 Internet 连接,请执行下列操作:
单击“开始”>“运行”。出现“运行”对话框。
键入:SERVICES.MSC /S
然后单击“确定”。“服务”窗口出现。
在右窗格中,找到 Remote Procedure Call (RPC) 服务。
注意:还有一个名为 Remote Procedure Call (RPC) Locator 的服务。请不要混淆这两个服务。
用鼠标右键单击 Remote Procedure Call (RPC) 服务,然后单击“属性”。
单击“故障恢复”选项卡。
使用下拉列表,将“第一次失败”、“第二次失败”和“后续失败”更改为“重新启动服务”。
单击“应用”,然后单击“确定”。
警告:杀除蠕虫后,请务必将这些设置更改回原来的值。
2. 结束蠕虫程序
按一次 Ctrl+Alt+Delete。
单击“任务管理器”。
单击“进程”标签。
浏览一下清单并寻找 msblast.exe。
如果找到该程序,单击它并单击“结束处理程序”。
结束“任务管理器”。
3. 将你所使用的杀毒软件更新到最新的病毒库
现在,国内的杀毒软件一般都可对此病毒进行查杀,但要注意此病毒有几个变种,以下的杀毒方法对于变种病毒,要在文件名和键值处有所改变。
4. 扫描并删除受感染的档案
用最新的杀毒软件执行完整系统扫描。 如果侦测到任何受 W32.Blaster.Worm 感染的档案,除非是特别重要的文件,否则我建议你单击“删除”。
5. 变更注册表键值
警告:对系统注册表进行任何修改之前,强烈建议你最好先替注册表进行一次备份。对注册表的修改如果有任何差错,严重时将会导致数据遗失或文件受损。建议只修改指定的键。
单击“开始”,然后单击“执行”。(将出现“运行”对话框。)
键入 regedit,然后单击“确定”。(将打开注册表编辑器。)
搜索这个键:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
删除右边窗格中的值:windows auto update
结束并离开注册表编辑器。
6. 获得 Microsoft 热修复工具(HotFix)以修复 DCOM RPC 漏洞
W32.Blaster.Worm 是一种通过 TCP 端口 135,利用 DCOM RPC 漏洞感染 PC 的蠕虫。W32.Blaster.Worm 还会试图使用你的PC 对 Microsoft Windows Update Web 服务器 (windowsupdate.com) 执行 DoS 攻击。如想彻底修复此漏洞,请从 Microsoft Security Bulletin MS03-026 (KB823980)获得 Microsoft 热修复工具,这是非常重要的,请你千万要升级它,这也是对于此病毒的变种的彻底解决之道。
我在此先建议所有用户和管理员都坚持以下良好的基本安全习惯:
关闭或删除不需要的服务:
默认情况下,许多操作系统会安装不危险的辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击提供了方便之门。如果删除它们,就减少了混合型威胁用于攻击的途径,并且在补丁程序更新时也减少了要维护的服务。
如果混合型威胁利用了一个或多个网络服务,请在应用补丁程序之前禁用或禁止访问这些服务。
实施应用最新的补丁程序,特别是在运行公共服务并可通过防火墙进行访问的计算机上,如 HTTP、FTP、邮件和 DNS 服务。
使用复杂的密码,即使在受到威胁的计算机上也难以破解密码文件。这有助于在计算机的安全受到威胁时防止或限制更大的破坏。
将您的邮件服务器配置为禁止或删除包含常用于传播病毒的附件(如 .vbs、.bat、.exe、.pif 和 .scr)的电子邮件。
迅速隔离受感染的计算机以防止您的组织受到更多的威胁。执行攻击型分析并使用可靠的媒体恢复计算机。
不要打开来路不明的附件。也不要执行从 Internet 下载后未经病毒扫描的软件。如果某些浏览器漏洞未被修补,访问受到安全威胁的网站也会造成感染。
====================================
相信有很多用户受此病毒所害,在此贴出我针对此病毒的完美解决方案,希望能对你有所帮助:
1. 还原 Internet 连接
在很多情况下,不管是在 Windows 2000 还是在 XP 上,更改 Remote Call Procedure (RPC) 服务的设置可能允许你连接到 Internet,而不会关闭计算机。
要还原 PC 的 Internet 连接,请执行下列操作:
单击“开始”>“运行”。出现“运行”对话框。
键入:SERVICES.MSC /S
然后单击“确定”。“服务”窗口出现。
在右窗格中,找到 Remote Procedure Call (RPC) 服务。
注意:还有一个名为 Remote Procedure Call (RPC) Locator 的服务。请不要混淆这两个服务。
用鼠标右键单击 Remote Procedure Call (RPC) 服务,然后单击“属性”。
单击“故障恢复”选项卡。
使用下拉列表,将“第一次失败”、“第二次失败”和“后续失败”更改为“重新启动服务”。
单击“应用”,然后单击“确定”。
警告:杀除蠕虫后,请务必将这些设置更改回原来的值。
2. 结束蠕虫程序
按一次 Ctrl+Alt+Delete。
单击“任务管理器”。
单击“进程”标签。
浏览一下清单并寻找 msblast.exe。
如果找到该程序,单击它并单击“结束处理程序”。
结束“任务管理器”。
3. 将你所使用的杀毒软件更新到最新的病毒库
现在,国内的杀毒软件一般都可对此病毒进行查杀,但要注意此病毒有几个变种,以下的杀毒方法对于变种病毒,要在文件名和键值处有所改变。
4. 扫描并删除受感染的档案
用最新的杀毒软件执行完整系统扫描。 如果侦测到任何受 W32.Blaster.Worm 感染的档案,除非是特别重要的文件,否则我建议你单击“删除”。
5. 变更注册表键值
警告:对系统注册表进行任何修改之前,强烈建议你最好先替注册表进行一次备份。对注册表的修改如果有任何差错,严重时将会导致数据遗失或文件受损。建议只修改指定的键。
单击“开始”,然后单击“执行”。(将出现“运行”对话框。)
键入 regedit,然后单击“确定”。(将打开注册表编辑器。)
搜索这个键:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
删除右边窗格中的值:windows auto update
结束并离开注册表编辑器。
6. 获得 Microsoft 热修复工具(HotFix)以修复 DCOM RPC 漏洞
W32.Blaster.Worm 是一种通过 TCP 端口 135,利用 DCOM RPC 漏洞感染 PC 的蠕虫。W32.Blaster.Worm 还会试图使用你的PC 对 Microsoft Windows Update Web 服务器 (windowsupdate.com) 执行 DoS 攻击。如想彻底修复此漏洞,请从 Microsoft Security Bulletin MS03-026 (KB823980)获得 Microsoft 热修复工具,这是非常重要的,请你千万要升级它,这也是对于此病毒的变种的彻底解决之道。
...全文
请发表友善的回复…
发表回复
