北大青鸟首页添加收藏网站地图
网站首页 中心简介 课程详解 新闻动态 师资团队 就业中心 学员天地 招生问答 在线报名 技术讲座 证书查询
 2011年招生简章 |  高中生专区 | 白领特招班 | 大学生专区 | 学士后 | 充电\转行 | 电脑实用技术 | 报名须知 学员专访
学员天地
  联系我们
课程老师
张玲老师
周老师
  开班信息

开班时间  班级类型      状态
12月31日 网站开发班   限6座
12月28日 转行充电班   限7座
12月25日 在职充电班   限5座
12月20日 .net开发班   限3座
12月16日 android开发   限4座
12月09日 网络营销班   限2座
12月05日 软件开发    已满

  免费讲座

时间: 周三、周六、周日
地点: 北大青鸟航天桥校区
内容: 黑客攻防、网络安全、软件开发、学士
       后 
       择业 就业 创业
主讲: IT资深专家
电话: 010-51659300 / 88414120

点击查看详情>>
  热门专题
 
 
  热点新闻
·调查显示近四成大学毕业生6个月内离职
·专业技能培训成了许多学生走向社会、实现自
·好专业不一定好就业
·北大青鸟朴实男成为求职典范
·2011年中国大学生最佳雇主榜发布 国企
·高考落榜生该怎么办?学好技术是关键
·北大青鸟航天桥学校专家解读:高考后择校志
·高考填志愿是选择学校重要还是选择专业重要
·关注高考后考生心理,北大青鸟为高考不理想
·高考志愿填报:填的不是专业,是就业

  您的位置:北大青鸟首页 -> 学员天地 -> 教学文章 -> Computer

冲击波(Worm.Blaster)病毒详细解决方案
警惕程度:★★★★

病毒名称:Worm.Blaster

发作时间:随机

病毒类型:蠕虫病毒

传播途径:网络/RPC漏洞

依赖系统:Microsoft Windows NT 4.0 / Microsoft Windows 2000 / Microsoft Windows XP /Microsoft Windows Server 2003

病毒尺寸:6,176 字节

病毒发作现象:

  冲击波(Worm.Blaster)病毒是利用微软公司在7月21日公布的RPC漏洞进行传播的,只要是计算机上有RPC服务并且没有打安全补丁的计算机都存在有RPC漏洞,具体涉及的操作系统是:Windows2000、XP、Server 2003。

  该病毒感染系统后,会使计算机产生下列现象:系统资源被大量占用,有时会弹出RPC服务终止的对话框,并且系统反复重启, 不能收发邮件、不能正常复制文件、无法正常浏览网页,复制粘贴等操作受到严重影响,DNS和IIS服务遭到非法拒绝等。下面是弹出RPC服务终止的对话框的现象:



病毒详细说明:

1. 病毒运行时会将自身复制到window目录下,并命名为: msblast.exe。

2. 病毒运行时会在系统中建立一个名为:“BILLY”的互斥量,目的是病毒只保证在内存中有一份病毒体,为了避免用户发现。

3. 病毒运行时会在内存中建立一个名为:“msblast.exe”的进程,该进程就是活的病毒体。

4. 病毒会修改注册表,在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中添加以下键值:"windows auto update"="msblast.exe",以便每次启动系统时,病毒都会运行。

5. 病毒体内隐藏有一段文本信息:

I just want to say LOVE YOU SAN!!

billy gates why do you make this possible ? Stop making money and fix your software!!

6. 病毒会以20秒为间隔,每20秒检测一次网络状态,当网络可用时,病毒会在本地的UDP/69端口上建立一个tftp服务器,并启动一个攻击传播线程,不断地随机生成攻击地址,进行攻击,另外该病毒攻击时,会首先搜索子网的IP地址,以便就近攻击。

7. 当病毒扫描到计算机后,就会向目标计算机的TCP/135端口发送攻击数据。

8. 当病毒攻击成功后,便会监听目标计算机的TCP/4444端口作为后门,并绑定cmd.exe。然后蠕虫会连接到这个端口,发送tftp命令,回连到发起进攻的主机,将msblast.exe传到目标计算机上并运行。

9. 当病毒攻击失败时,可能会造成没有打补丁的Windows系统RPC服务崩溃,Windows XP系统可能会自动重启计算机。该蠕虫不能成功攻击Windows Server2003,但是可以造成Windows Server2003系统的RPC服务崩溃,默认情况下是系统反复重启。

10. 病毒检测到当前系统月份是8月之后或者日期是15日之后,就会向微软的更新站点"windowsupdate.com"发动拒绝服务攻击,使微软网站的更新站点无法为用户提供服务。

手工清除方案:

一、 DOS环境下清除该病毒:

1.当用户中招出现以上现象后,用DOS系统启动盘启动进入DOS环境下,进入C盘的操作系统目录.

操作命令集:

C:

CD C:\windows (或CD c:\winnt)

2. 查找目录中的“msblast.exe”病毒文件。

命令操作集:

dir msblast.exe /s/p

3.找到后进入病毒所在的子目录,然后直接将该病毒文件删除。

Del msblast.exe

二、 在安全模式下清除病毒

  如果用户手头没有DOS启动盘,还有一个方法,就是启动系统后进入安全模式,然后搜索C盘,查找msblast.exe文件,找到后直接将该文件删除,然后再次正常启动计算机即可。

给系统打补丁方案:

  当用户手工清除了病毒体后,应上网下载相应的补丁程序,用户可以先进入微软网站,下载相应的系统补丁,给系统打上补丁。以下是补丁的具体下载地址:

· Windows 2000 :

http://microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F-220354449117&displaylang=en   (连接到第三方网站)

· Windows XP 32 位版本 :

http://microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=en   (连接到第三方网站)

用户也可以直接登陆瑞星网址:

http://it.rising.com.cn/newSite/Channels/info/virus/TopicDatabasePackage/12-145900547.htm来下载相应的微软补丁程序。



或者利用杀毒工具解决
返回顶部 | 招生简章 | 联系我们 | 乘车路线 | 招聘信息 | 网站地图 | 在线报名
版权所有2004-2009 金领园科技(北京)有限公司 京ICP备09038718号 京公网安备:110108006537号
海淀中心网址:http://www.bjbenet.com 电话:010-51659300 / 88414120
海淀地址:北京海淀区西三环北路甲105号科原大厦B座5层 (首都师范大学东门)