金山毒霸冲击波蠕虫病毒专杀工具

冲击波 病毒专杀 工具(又称新流言、恶流言、流言等)是金山毒霸推出的一款专门针对冲击波蠕虫病毒的清除软件，它支持快捷对电脑进行检验，防止电脑遭受该病毒攻击，并修复该病毒可能利用的漏洞，让用户告别冲击波病毒带来的危害。冲击波病毒主要是利用微软Windows操作系统在2003年7月21日公布的RPC漏洞进行传播的，通过网络快速传播，在运行时会不停的利用IP扫描技术寻找网络系统位Win2000或XP的计算，找到后就利用DCOM/RPC缓冲区漏洞攻击该系统，一旦攻击成功，病毒体将会被传送到对方计算机中进行感染，使系统操作异常、不停重启、甚至导致系统奔溃。另外，该病毒还会对系统升级网站进行拒绝服务攻击，导致该网站堵塞，使用户无法通过该网站升级系统,只要是计算机上有RPC服务并且没有打安全补丁的计算机都存在有RPC漏洞，具体涉及的操作系统是:Windows 2000XPServer 2003NT4.0,受到感染的计算机中出现以下异常现象：Word、Excel、Powerpoint等文件无法正常使用，计算机出现反复重新启动，并可导致计算机系统崩溃。

使用教程

1、程序免安装，进入解压出的文件夹，双击“Duba_Sdbot.exe”即可正常使用冲击波病毒专杀工具
2、打开程序，在扫描路径中点击“路径...”选择要扫描的系统盘，

3、完成路径的选择，可自主勾选扫描的类型和其他属性，包括扫描内存、自动清除、扫描子目录和扫描全部文件

4、完成以上的选择之后，点击“金山图标”即可开始冲击波病毒的扫描

5、完成扫描之后，在程序下的文件路径中即可显示扫描的结果，如无则可会显示“未发现病毒”

功能特色

1、可自主选择要扫描的路径
2、自带扫描内存、自动清除、扫描子目录和扫描全部文件等内容
3、扫描出后，可显示扫描的总文件夹数、病毒数、清除数和错误数等信息
4、完成扫描后，可显示出用户的电脑中是否有病毒，并可帮助用户自动清除

冲击波蠕虫病毒原理

一、攻击原理
1.2003年7月16日，发布了“RPC接口中的缓冲区溢出”的漏洞补丁。该漏洞存在于RPC 中处理通过TCP/IP的消息交换的部分，攻击者通过TCP135端口，向远程计算机发送特殊形式的请求，允许攻击者在目标机器上获得完全的权限并以执行任意代码。
2.该病毒充分利用了RPC/DCOM漏洞，首先使受攻击的计算机远程执行了病毒代码；其次使RPCSS服务停止响应，PRC意外中止，从而产生由于PRC中止导致的一系列连锁反应。针对RPC/DCOM漏洞所编写的病毒代码构成了整个病毒代码中产生破坏作用的最重要的部分。
二、运作传播
1.计算机系统被病毒感染后，病毒会自动建立一个名为“BILLY”的互斥线程，当病毒检测到系统中有该线程的话则将不会重复驻入内存，否则病毒会在内存中建立一个名为“msblast”的进程。
2.病毒运行时会将自身复制为：%systemdir%msblast.exe，%systemdir%指的是操作系统安装目录中的系统目录，默认为C：Winntsystem32；紧接着病毒在注册表HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下添加名为“windows auto update”的启动项目，值为“msblast.exe”，使得每次启动计算机时自动加载病毒
3.病毒隐藏后，感染病毒的计算机尝试连接20个随机的IP地址，并且对存在RPC/DCOM漏洞的计算机进行攻击，完成后该病毒会休息1.8秒，然后继续扫描下20个随机的IP地址，并进行攻击。
4.具体的攻击过程为：在感染病毒的计算机通过TCP135端口向那些被攻击计算机发送攻击代码，被攻击的计算机将在TCP4444端口开启一个CommandShell。同时监听UDP69端口，当接收到受攻击的机器发来的允许使用DCOM RPC运行远程指令的消息后，将发送Msblast.exe文件，并让受攻击的计算机执行它，至此受攻击的计算机也感染了此病毒
5.如果当前日期是8月或者当月日期是15日以后，病毒还会发起对windowsupdate.com的拒绝服务攻击（DdoS）
三、病毒构成
冲击波病毒长6176bytes，是后门和蠕虫功能混合型的病毒，包括三个组件：蠕虫载体、TFTP服务器文件、攻击模块，病毒会下载并运行病毒文件msblast.exe。在这种混合型病毒中还隐藏地存在一段文本信息：
I just want to say LOVE YOU SAN !!
Bill gates why do you make this possible ?
Stop making money and fix your soft ware !!

冲击波蠕虫病毒特征

1、主动攻击
蠕虫在本质上已经演变为黑客入侵的自动化工具，当蠕虫被释放(release)后，从搜索漏洞，到利用搜索结果攻击系统，到复制副本，整个流程全由蠕虫自身主动完成
2、利用系统、网络应用服务漏洞
计算机系统存在漏洞是蠕虫传播的前提，利用这些漏洞，蠕虫获得被攻击的计算机系统的相应权限，完成后继的复制和传播过程。正是由于漏洞产生原因的复杂性，导致面对蠕虫的攻击防不胜防。
3、造成网络拥塞
蠕虫进行传播的第一步就是找到网络上其它存在漏洞的计算机系统，这需要通过大面积的搜索来完成，搜索动作包括：判断其它计算机是否存在;判断特定应用服务是否存在;判断漏洞是否存在。这不可避免的会产生附加的网络数据流量。即使是不包含破坏系统正常工作的恶意代码的蠕虫，也会因为病毒产生了巨量的网络流量，导致整个网络瘫痪，造成经济损失
4、反复性
即使清除了蠕虫在文件系统中留下的任何痕迹，如果没有修补计算机系统漏洞，重新接入到网络中的计算机还是会被重新感染。
5、破坏性
从蠕虫的历史发展过程可以看到，越来越多的蠕虫开始包含恶意代码，破坏被攻击的计算机系统，而且造成的经济损失数目越来越大

冲击波蠕虫病毒感染征兆

虽然此蠕虫只能在Windows 2000与XP上传播，但是它也可让执行RPC的操作系统如Windows NT、Windows XP（64 bit）与Windows Server 2003造成不稳。一但此蠕虫在网络上侦测到连线（不论拨接或宽带），它将会造成此系统的不稳定并显示一道讯息以及在一分钟之内重新开机:
Windows must now restart because the Remote Procedure Call
(RPC) Service terminated unexpectedly
如果你的系统被感染了，系统可能出现如下特征:
1.被重启动
2.用netstat 可以看到大量tcp 135端口的扫描
3.系统中出现文件： %Windir%system32msblast.exe  
4.系统工作不正常，比如拷贝、粘贴功能不工作，IIS服务启动异常等

冲击波蠕虫病毒感染方式

此蠕虫试图在8月15日发动一波SYN资讯洪水，目标是windowsupdate的80埠，借此对此网站做出分散式阻断服务攻击（DDoS）。由于此蠕虫的目标是windowsupdate（微软的重定向网站）而非windowsupdate（微软更新的本站），因此微软便暂时地关闭此网站以降低此蠕虫对网站造成的可能影响。
此蠕虫借由一个在DCOM远程过程调用（RPC）出现的缓冲区溢位漏洞而在受影响的操作系统上散布。此漏洞的修补档已在一个月之前就已公布在MS03-026以及MS03-039上。
本蠕虫将两段讯息隐藏在程式码中，第一个是：
I just want to say LOVE YOU SAN!!
也因为此句话，本蠕虫也称为Lovesan蠕虫。
第二个:
billy gates why do you make this possible ? Stop making money
and fix your software!!
是一个给比尔·盖兹的讯息。他是微软的开创者，以及本蠕虫的攻击目标。
感染征兆编辑
虽然此蠕虫只能在Windows 2000与XP上传播，但是它也可让执行RPC的操作系统如Windows NT、Windows XP（64 bit）与Windows Server 2003造成不稳。一但此蠕虫在网络上侦测到连线（不论拨接或宽带），它将会造成此系统的不稳定并显示一道讯息以及在一分钟之内重新开机：
Windows must now restart because the Remote Procedure Call
(RPC) Service terminated unexpectedly

冲击波蠕虫病毒解决方法

Windows的错误讯息以及重开机状况可借由更改重开机服务的设定而避免，使得使用者有足够时间移除Blaster病毒以及安装漏洞的修补程式。此步骤如下:
一、点击“开始”菜单-运行，键入“services.msc”并按下Enter

二、找出“Remote Procedure Call”服务(非RPC定位器)，按下右键并选择属性（Properties）

三、选择“恢复”，并设置失败行动选项为“不做动作”，并点击确定

四、由于RPC是Windows的内嵌部件，因此失败动作在移除Blaster理应尽快设定回重开机
【另外一个阻止电脑重新开机的方法】
1.点击“开始”菜单-运行，键入 "shutdown -a"并按下 Enter

2.如果你以管理者登入系统，这方法可以顺利停止重开机（-a代表Abort）
五、以上动作必须在重开机讯息出现后，在时限内完成。而shutdown.exe档案并不能在Windows 2000直接找到，必须从Windows 2000资源包中提取出
六、另外，执行Open Software Foundation的分散式运算环境有可能被此蠕虫造成的流量所影响。此蠕虫产生的网络封包对DCE造成DDoS，也会造成DCE的崩溃
七、对微软Windows使用者的最佳方法是时时登入Microsoft Update，将系统保持在最新状态，以及更新 防毒软件 。Windows Update尤其重要，因为恶意软件（例如Blaster）常常利用最近找到的漏洞来破坏，因为这类的新漏洞许多使用者还来不及更新修正程式

手动删除冲击波蠕虫病毒方法

1、检查、并删除文件: %Windir%system32msblast.exe 
2、打开任务管理器，停止以下进程 msblast.exe  
3、进入注册表（“开始->运行：regedit)  找到键值：HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRun  在右边的栏目, 删除下面键值: "windows auto update"="msblast.exe" 
4、给系统打补丁（否则很快被再次感染）

清除防范冲击波蠕虫病毒方法

1、 终止该计算机病毒运行。方法如下：
打开Windows任务管理器：
Windows95/98/ME系统按CTRL＋ALT＋DELETE；
WindowsNT/2000/XP系统按CTRL＋SHIRT＋ESC；
在运行的程序清单中查找进程“MSBLAST.EXE”，终止该进程的运行。
2、 删除注册表中的自启动项。方法如下：
修改注册表：
HKEY_LOCAL_MACHINE>SOFTWARE>MICROSOFT>WINDOWS>CURRENTVERSION>RUN
在右边的列表中查找并删除以下项目Windows auto update=MSBLAST.EXE
3、点击下载并安装相应的RPC漏洞的补丁程序
4、对135端口、69端口、4444端口的访问进行过滤，使得只能进行受信任以及内部的站点访问。
5、运行杀毒软件，对系统进行全面的病毒扫描和清除，然后重新启动计算机，再次进行病毒扫描，确认病毒是否彻底清除。