“冲击波”病毒的完整解决方案

精华转载】“冲击波”病毒的完整解决方案!申请落伍

“冲击波”病毒的完整解决方案
1.说明:

“冲击波”病毒只会对winNT核心的操作系统有影响,就是说对winnt系列、win2K系列、win2K3系列、win XP系列有影响，而对win98和win95无影响。

2.现象：
①系统强行重新启动－－提示类似“Remote Procedure Call（RPC）服务意外终止，windows必须立即重新启动。”
②无法复制粘贴。

3.预防方法（没有中毒时使用）

方法一:更新所有的补丁

建议使用 >http://windowsupdate.microsoft.com[/url] 下载全部关键更新并升级而不单独下载补丁，这样可以对一次修复很多漏洞

适合于任何版本的操作系统的方法！

IE->工具->windows update-> Windwos update 目录->查找 Microsoft Windows 操作系统的更新 -> 选择系统和版本 ->重要更新 ->找到最后

一个（Windows Server 2003 安全更新程序 (823980) - (发布日期: July 15, 2003) ）并添加

再转到下载篮子，选择下载目录，自己运行！OK！

方法二：只更新关键更新

Microsoft Security Bulletin MS03-026
Buffer Overrun In RPC Interface Could Allow Code Execution (823980)
>http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp[/url]

4.杀毒方法（中毒的情况下使用）

步骤1:更新操作系统的补丁并且禁止病毒程序的进程

请按照操作系统版本下载相应的补丁。
(即Microsoft Security Bulletin MS03-026 ）

建议使用 >http://windowsupdate.microsoft.com[/url] 下载全部关键更新并升级而不单独下载补丁，这样可以对一次修复很多漏洞

①安装RPC补丁。即 >http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp[/url]
②在任务管理器中中止msblast.exe进程
③删除system32\msblast.exe
④清除注册表的下列条目
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"windows auto update"="msblast.exe"

步骤2: 杀毒

金山毒霸组已经推出专杀，看 >http://www.duba.net/download/3/91.shtml[/url]
瑞星的专杀工具地址：>http://download.rising.com.cn/zsgj/ravzerg.exe[/url]
注意：这些专杀工具只能杀当天以前的“冲击波”，对新的变种无效！所以尽可能保持杀毒软件的最新版。

Symantec分析报告：
>http://securityresponse.symantec.com/avcenter/venc/data/backdoor.irc.cirebot.html[/url]

5.更彻底的解决办法：

①在防火墙上封堵不必要的端口
135端口用于启动与远程计算机的 RPC 连接。连接到Internet的计算机应当在防火墙上封堵 135 端口，用以帮助防火墙内的系统防范通过

利用此漏洞进行的攻击。
使用防火墙关闭所有不必要的端口，漏洞不仅仅影响135端口，还影响到大部分调用DCOM函数的服务端口，建议用户使用网络或是个人防火

墙过滤以下端口：
135/TCP epmap
135/UDP epmap
139/TCP netbios-ssn
139/UDP netbios-ssn
445/TCP microsoft-ds
445/UDP microsoft-ds
593/TCP http-rpc-epmap
593/UDP http-rpc-epmap

有关为客户端和服务器保护 RPC 的详细信息，请访问：
>http://msdn.microsoft.com/library/default.asp?url=/library/en-us/rpc/rpc/writing_a_secure_rpc_client_or_server.asp[/url]
有关 RPC 使用的端口的详细信息，请访问：
>http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/tcpip/part4/tcpappc.asp[/url]

实际还可以这么做：
a.先在任务管理器中将 msblast.exe 进程杀掉，之后将windows安装目录下的system32文件夹下的msblast.exe删除
b.运行SERVICS.MSC找到remote procedure call(RPC).并双击，然后在恢复选项卡里面选择,恢复，选择服务失败时的计算机反映，并将第一次失败、第二次失败、第三次失败的选项选择为不操作。

②手动为计算机启用（或禁用） DCOM：

运行 Dcomcnfg.exe。
如果您在运行 Windows XP 或 Windows Server 2003，则还要执行下面这些步骤：
单击“控制台根节点”下的“组件服务”。
打开“计算机”子文件夹。
对于本地计算机，请以右键单击“我的电脑”，然后选择“属性”。
对于远程计算机，请以右键单击“计算机”文件夹，然后选择“新建”，再选择“计算机”。
输入计算机名称。以右键单击该计算机名称，然后选择“属性”。
选择“默认属性”选项卡。
选择（或清除）“在这台计算机上启用分布式 COM”复选框。

6.小结：
这是汇总很多网络文章总结而成，只是希望对大家有益。好软件总结于2003.8.13 15：10，请注意如果日期相隔太久，病毒一旦产生变种，这里的杀毒软件可能失效，但是方法不变

将本文收藏到QQ书签与更多好友分享