【冲击波】病毒解决方案
冲击波病毒让微软颜面丢尽,也让使用Windows操作系统的劳苦大众吃尽了苦头。
我原来以为进入2004年后,冲击波病毒就会逐渐销声匿迹,再加上这是一个中了可怕、杀掉却很容易的病毒,所以一直没写一个完整的解决方案。最近冲击波有愈演愈烈之势,看来这个懒偷不成了^_^
以下是冲击波解决方案,希望对大家有用。
中了冲击波病毒的特征很明显:如果你的Windows NT、2000、xp或者2003突然出现一分钟倒计时关机,就是中了冲击波病毒(冲击波是中国叫法,世界叫法是Rpc病毒)。
你一定比较急着解决问题^_^那就先说——
中了冲击波病毒怎么办?
解决方法很简单
一、先安装这个:
点此下载微软RPC补丁---Windows XP 简体中文版
二、再安装这个:
点此下载Microsoft出的“冲击波”蠕虫删除工具
OK了!
其它Rpc补丁程序
1、Windows Server 2003
1)Windows Server 2003 中文版(32位)
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=F8E0FF3A-9F4C-4061-9009-3A212458E92E
2)Windows Server 2003 英文版(32位)
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=F8E0FF3A-9F4C-4061-9009-3A212458E92E
3)Windows Server 2003 英文版(64位)
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=2B566973-C3F0-4EC1-995F-017E35692BC7
2、Microsoft Windows XP
1)Microsoft Windows XP 简体中文版(32位)
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=2354406C-C5B6-44AC-9532-3DE40F69C074
2)Microsoft Windows XP 英文版(32位)
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=2354406C-C5B6-44AC-9532-3DE40F69C074
3)Microsoft Windows XP 英文版(64位)
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=1B00F5DF-4A85-488F-80E3-C347ADCC4DF1
3、Microsoft Windows 2000
1)Microsoft Windows 2000 简体中文版(支持的操作系统Windows 2000 Server, Windows
2000 Advanced Server, Windows 2000 professional)
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=C8B8A846-F541-4C15-8C9F-220354449117
2)Microsoft Windows 2000 英文版(支持的操作系统Windows 2000 Server, Windows 2000 Advanced Server, Windows 2000 professional)
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=C8B8A846-F541-4C15-8C9F-220354449117
4、Microsoft Windows NT 4.0
1)Microsoft Windows NT 4.0 中文版 (支持的操作系统Windows NT, Windows NT4.0 Server, Enterprise Edition)
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=2CC66F4E-217E-4FA7-BDBF-DF77A0B9303F
2)Microsoft Windows NT 4.0 英文版 (支持的操作系统Windows NT, Windows NT4.0 Server, Enterprise Edition)
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=2CC66F4E-217E-4FA7-BDBF-DF77A0B9303F
3)Windows NT 4.0 Terminal Server Edition 英文版
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=6C0F0160-64FA-424C-A3C1-C9FAD2DC65CA
解决了问题,我们再来了解一下——
冲击波病毒的相关情况
冲击波攻击的系统:
Microsoft Windows NT 4.0
Microsoft Windows NT 4.0 Terminal Services Edition
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003
技术说明:
远程过程调用 (RPC) 是 Windows 操作系统使用的一个协议。RPC 提供了一种进程间通信机制,通过这一机制,在一台计算机上运行的程序可以顺畅地执行某个远程系统上的代码。该协议本身是从 OSF(开放式软件基础)RPC 协议衍生出来的,只是增加了一些 Microsoft 特定的扩展。
RPC 中处理通过 TCP/IP 的消息交换的部分有一个漏洞。此问题是由错误地处理格式不正确的消息造成的。这种特定的漏洞影响分布式组件对象模型 (DCOM) 与 RPC 间的一个接口,此接口侦听 TCP/IP 端口 135。此接口处理客户端计算机向服务器发送的 DCOM 对象激活请求(例如通用命名约定 (UNC) 路径)。
为利用此漏洞,攻击者可能需要向远程计算机上的 135 端口发送特殊格式的请求。
减轻影响的因素:
为利用此漏洞,攻击者可能需要拥有向远程计算机上的 135 端口发送精心编造的请求的能力。对于 Intranet 环境,此端口通常是可以访问的;但对于通过 Internet 相连的计算机,防火墙通常会封堵 135 端口。如果没有封堵该端口,或者在 Intranet 环境中,攻击者就不需要有任何其他特权。
最佳做法是封堵所有实际上未使用的 TCP/IP 端口。因此,大多数连接到 Internet 的计算机应当封堵 135 端口。RPC over TCP 不适合在 Internet 这样存在着危险的环境中使用。像 RPC over HTTP 这样更坚实的协议适用于有潜在危险的环境。
要详细了解有关为客户端和服务器保护 RPC 的详细信息,请访问 http://msdn.microsoft.com/library/default.asp?url=/library/en-us/rpc/rpc/writing_a_secure_rpc_client_or_server.asp。
要了解有关 RPC 使用的端口的详细信息,请访问:http://www.microsoft.com/technet/prodtechnol/windows2000serv/
reskit/tcpip/part4/tcpappc.asp
常见问题解答
问:该漏洞的范围有多大?
答:这是一个缓冲区溢出漏洞。成功利用此漏洞的攻击者有可能获得对远程计算机的完全控制。这可能使攻击者能够对服务器随意执行操作,包括更改网页、重新格式化硬盘或向本地管理员组添加新的用户。
要发动此类攻击,攻击者需要能够向 RPC 服务发送一条格式不正确的消息,从而造成目标计算机受制于人,攻击者可以在它上面执行任意代码。
防范来自 Internet 的远程 RPC 攻击的最佳方法是:将防火墙配置为封堵 135 端口。RPC over TCP 不适合在 Internet 这样存在着危险的环境中使用。
问:此漏洞是由什么问题引起的?
答:此漏洞是由于 Windows RPC 服务在某些情况下不能正确检查消息输入而造成的。如果攻击者在 RPC 建立连接后发送某种类型的格式不正确的 RPC 消息,则会导致远程计算机上与 RPC 之间的基础分布式组件对象模型 (DCOM) 接口出现问题,进而使任意代码得以执行。
问:什么是 DCOM?
答:分布式对象模型 (DCOM) 是一种能够使软件组件通过网络直接进行通信的协议。DCOM 以前叫做“网络 OLE”,它能够跨越包括 Internet 协议(例如 HTTP)在内的多种网络传输。可以从以下网站查阅有关 DCOM 的详细信息:http://www.microsoft.com/com/tech/dcom.asp
问:什么是 RPC(远程过程调用)?
答:远程过程调用 (RPC) 是一种协议,程序可使用这种协议向网络中的另一台计算机上的程序请求服务。由于使用 RPC 的程序不必了解支持通信的网络协议的情况,因此 RPC 提高了程序的互操作性。在 RPC 中,发出请求的程序是客户程序,而提供服务的程序是服务器。
问:Microsoft 的“远程过程调用”(RPC) 实现过程存在什么问题?
答:RPC 中处理 TCP/IP 上的消息交换的部分存在一个缺陷。错误地处理格式不正确的消息会导致出现错误。这种特定的错误会影响底层的 DCOM 接口,此接口侦听 TCP/IP 端口 135。通过发送格式不正确的 RPC 消息,攻击者可以使一台计算机上的 RPC 服务出现问题,进而使任意代码得以执行。
问:这是 RPC 终结点映射器中的缺陷吗?
答:不是。尽管 RPC 终结点映射器侦听 TCP 端口 135,此缺陷实际上出现在 RPC 过程中的低级别 DCOM 接口中。RPC 终结点映射器允许 RPC 客户端确定当前分配给特定 RPC 服务的端口号。终结点是服务器应用程序在其上侦听有无远程过程调用的协议端口或命名管道。客户端/服务器应用程序可以使用已知的端口或动态端口。
问:攻击者可利用此漏洞做什么?
答:如果攻击者能够成功利用此漏洞,他将能够在受影响的系统上运行拥有本地系统特权的代码。攻击者将能够对系统执行任何操作,包括安装程序,查看、更改或删除数据,或者创建拥有完全权限的新帐户。
问:攻击者会如何利用此漏洞?
答:攻击者可以通过编程方式来寻求利用此漏洞,在一台能够通过 TCP 端口 135 与易受影响的服务器通信的计算机上,发送特定类型的、格式错误的 RPC 消息。接收此类消息会导致易受影响的计算机上的 RPC 服务出现问题,进而使任意代码得以执行。
问:哪些人可能利用该漏洞?
答:任何能够向受影响的计算机上的 135 端口发送 TCP 请求的用户都能利用此漏洞。因为 Windows 的各种版本中的 RPC 请求在默认情况下是打开的,这实际上意味着任何能够与受影响的计算机建立连接的用户都能利用此漏洞。
通过其他方法也可以访问受影响的组件,例如,通过以交互方式登录到受影响的系统,或使用一个类似的以本地或远程方式向受影响的组件传递参数的应用程序。
问:修补程序有什么用途?
答:修补程序修补此漏洞的方法是,修改 DCOM 接口,使之能够检查向它传递的信息。
解决方法
问:在我测试或评估此修补程序期间,是否有什么解决方法可用来防止利用此漏洞?
答:有。尽管 Microsoft 迫切希望所有客户尽早应用此修补程序,但在应用此程序之前,还是有许多解决方法可帮助阻止利用此漏洞。
须指出的是,这些解决方法仅是权宜之计,因为它们只是堵住了攻击途径,而没有从根本上消除漏洞。
以下几节旨在为您提供一些帮助计算机防范攻击的信息。每一节都介绍了一些解决方法,您可根据您的计算机配置灵活选用。
每一节都根据您需要的功能级别介绍可用的解决方法。
在防火墙上封堵 135 端口。
135 端口用于启动与远程计算机的 RPC 连接。在防火墙上封堵 135 端口,可以帮助防火墙内的系统防范通过利用此漏洞进行的攻击。
Internet 连接防火墙。
如果您在使用 Windows XP 或 Windows Server 2003 中的 Internet 连接防火墙来保护您的 Internet 连接,则默认情况下会阻止来自 Internet 的入站 RPC 通信信息。
禁用所有受影响的计算机上的 DCOM
如果一台计算机是一个网络的一部分,则该计算机上的 COM 对象将能够通过 DCOM 网络协议与另一台计算机上的 COM 对象进行通信。您可以禁用特定的计算机上的 DCOM,帮助其防范此漏洞,但这样做会阻断该计算机上的对象与其他计算机上的对象之间的所有通信。
如果您禁用一台远程计算机上的 DCOM,此后,您将无法通过远程访问该计算机来重新启用 DCOM。要重新启用 DCOM,需要本地操作该计算机。
手动为计算机启用(或禁用) DCOM:
运行 Dcomcnfg.exe
如果您在运行 Windows XP 或 Windows Server 2003,则还要执行下面这些步骤:
单击“控制台根节点”下的“组件服务”。
打开“计算机”子文件夹。
对于本地计算机,请以右键单击“我的电脑”,然后选择“属性”。
对于远程计算机,请以右键单击“计算机”文件夹,然后选择“新建”,再选择“计算机”。输入计算机名称。以右键单击该计算机名称,然后选择“属性”。
选择“默认属性”选项卡。
选择(或清除)“在这台计算机上启用分布式 COM”复选框。
如果您要为该计算机设置更多属性,请单击“应用”按钮以启用(或禁用) DCOM。否则,请单击“确定”以应用更改并退出 Dcomcnfg.exe。
有关该修补程序的附加信息
安装平台:
Windows NT 4.0 修补程序可在运行 Service Pack 6a 的系统上安装。
Windows NT 4.0 Terminal Server Edition 修补程序可在运行 Windows NT 4.0 Terminal Server Edition Service Pack 6 的系统上安装。
Windows 2000 修补程序可在运行 Windows 2000 Service Pack 3 或 Service Pack 4 的系统上安装。
Windows XP 修补程序可在运行 Windows XP Gold 或 Service Pack 1 的系统上安装。
Windows Server 2003 修补程序可在运行 Windows Server 2003 Gold 的系统上安装。
包括在将来的 Service Pack 中: 此问题的修补程序将包括在 Windows 2000 Service Pack 5、Windows XP Service Pack 2 和 Windows Server 2003 Service Pack 1 中。
是否需要重新启动:是
修补程序能否卸载:是
替代修补程序:否
验证修补程序安装:
Windows NT 4.0:
要验证计算机上是否已安装修补程序,请确认知识库文章 823980 中的文件清单上列出的所有文件是否均存在于系统中。
Windows NT 4.0 Terminal Server Edition:
要验证计算机上是否已安装修补程序,请确认知识库文章 823980 中的文件清单上列出的所有文件是否均存在于系统中。
Windows 2000:
要验证计算机上是否已安装修补程序,请确认计算机上是否已创建以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB823980。
要验证个别的文件,请使用知识库文章 823980 中的文件清单提供的日期/时间和版本信息,确认文件存在于系统中。
Windows XP:
要验证计算机上是否已安装修补程序,请确认计算机上是否已创建以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB823980。
要验证个别的文件,请使用知识库文章 823980 中的文件清单提供的日期/时间和版本信息,确认文件存在于系统中。
Windows Server 2003:
要验证计算机上是否已安装修补程序,请确认计算机上是否已创建以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Window Server 2003\SP1\KB823980。
要验证个别的文件,请使用知识库文章 823980 中的文件清单提供的日期/时间和版本信息,确认文件存在于系统中。
注意事项:无
本地化:该修补程序的本地化版本可从“获取修补程序的途径”中所述的位置获得。
获取其他安全修补程序:
有关其他安全问题的修补程序可从以下位置获得:
安全修补程序可以从 Microsoft 下载中心获得,通过执行“security_patch”关键字搜索即可方便地找到。
有关客户平台的修补程序可从 WindowsUpdate Web 站点获得。
安装补丁遇到的问题及解决方法
1, 如果系统为XP,系统提示安装程序不能验证update.inf文件的完整性,
请确定加密服务正在此计算机上运行。
解决方法:
在命令行提示符下输入
net start cryptographic service。
2, 如果系统提示,安装补丁的语言系统和系统语言系统不一致。
解决方法:
安装ENU版本补丁,其原因是部分中文XP内核仍然为英文,所以安装中文版补丁会提示出错。
3,装完RPC补丁后机器启不来(黑屏)。
解决方法:
把主板上的电池拔下来放电(够长时间)
4,XP系统,上网就重新启动,无法下载补丁
解决方法1:
先进入“计算机管理”,--我的电脑->管理
选择“服务和应用程序”,
然后是“服务”,在右边的列表中找到“Remote Procedure Call (RPC)”,
打开其属性对话框,在“恢复”页中将失败处理改为“不操作”。
解决方法2:
可以在出关机提示的时候把系统时间往后调1个小时,这样就能延长一个小时关机...
5,补丁安装过程中出错
解决办法:
将补丁和Blaster蠕虫的专杀工具下载到本地,断开网络连接,使用专杀工具查杀病毒,
重新启动机器后安装补丁程序。确定补丁程序安装成功后再恢复网络连接。
6,安装了相应补丁后仍然不断地出现SVCHOST错误,或者重新启动。
解决方案:
打了补丁没起作用的一种可能是你当时显示打补丁成功,但实际上那几个dll未被替换成功.MS的SPn不会出现显示安装成功却实际未成功的事,但hotfix 会出现这种事。某些时候安装hotfix之后, 显示成功,从注册表里也看到反安装信息,但实际上可能未替换文件。一般此时最好是卸载hotfix,重启动,断开网络重新安装hotfix。
另一个情况下,ms03-026未补完全,ms正在重新制作非紧急响应型的补丁,你不是被蠕虫打得重启,而是被人攻击, 就有可能打了ms03-026也无意义。
