冲击波（Worm.Blaster）病毒详细解决方案及病毒预防

　　病毒简介：
　　病毒名称：Worm.Blaster
　　发作时间：随机
　　病毒类型：蠕虫病毒
　　传播途径：网络/RPC漏洞
　　依赖系统：Microsoft Windows NT 4.0 / Microsoft Windows 2000
　　　　　　　Microsoft Windows XP / Microsoft Windows Server 2003
　　病毒尺寸：6,176 字节

　　病毒发作现象：　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　回顶部>>
　　冲击波（Worm.Blaster）病毒是利用微软公司在7月21日公布的RPC漏洞进行传播的，只要是计算机上有RPC服务并且没有打安全补丁的计算机都存在有RPC漏洞，具体涉及的操作系统是：Windows2000、XP、Server 2003。
　　该病毒感染系统后，会使计算机产生下列现象：系统资源被大量占用，有时会弹出RPC服务终止的对话框，并且系统反复重启, 不能收发邮件、不能正常复制文件、无法正常浏览网页，复制粘贴等操作受到严重影响，DNS和IIS服务遭到非法拒绝等。下面是弹出RPC服务终止的对话框的现象：

　　

　　病毒的发现与清除：　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　回顶部>>
　　1. 病毒运行时会建立一个名为："BILLY"的互斥量，使病毒自身不重复进入内存，并且病毒在内存中建立一个名为："msblast"的进程，用户可以用任务管理器将该病毒进程终止。
　　2. 病毒运行时会将自身复制为：%systemdir%\msblast.exe,用户可以手动删除该病毒文件。
　　注意：%Windir%是一个变量，它指的是操作系统安装目录，默认是："C:\Windows"或："c:\Winnt",也可以是用户在安装操作系统时指定的其它目录。%systemdir%是一个变量，它指的是操作系统安装目录中的系统目录，默认是："C:\Windows\system"或："c:\Winnt\system32"。
　　3. 病毒会修改注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项，在其中加入："windows auto update"="msblast.exe"，进行自启动，用户可以手工清除该键值。
　　4. 病毒体内隐藏有一段文本信息：
　　I just want to say LOVE YOU SAN!!
　　billy gates why do you make this possible ? Stop making money and fix your software!!
　　5. 当病毒攻击失败时，可能会造成没有打补丁的Windows系统RPC服务崩溃，Windows XP系统可能会自动重启计算机。该蠕虫不能成功攻击Windows Server2003，但是可以造成Windows Server2003系统的RPC服务崩溃，默认情况下是系统反复重启。
　　6. 病毒检测到当前系统月份是8月之后或者日期是15日之后，就会向微软的更新站点"windowsupdate.com"发动拒绝服务攻击，使微软网站的更新站点无法为用户提供服务。

　　手工清除方案： 　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　回顶部>>
　　一、 DOS环境下清除该病毒：
　　1.当用户中招出现以上现象后，用DOS系统启动盘启动进入DOS环境下，进入C盘的操作系统目录.
　　操作命令集：
　　C:
　　CD C:\windows (或CD　c:\winnt)
　　2. 查找目录中的"msblast.exe"病毒文件。
　　命令操作集：
　　dir msblast.exe /s/p
　　3.找到后进入病毒所在的子目录，然后直接将该病毒文件删除。
　　Del msblast.exe
　　二、 在安全模式下清除病毒
　　如果用户手头没有DOS启动盘，还有一个方法，就是启动系统后进入安全模式，然后搜索C盘，查找msblast.exe文件，找到后直接将该文件删除，然后再次正常启动计算机即可。
　　给系统打补丁方案：
　　当用户手工清除了病毒体后，应上网下载相应的补丁程序，用户可以先进入微软网站，下载相应的系统补丁，给系统打上补丁。以下是补丁的具体下载地址：
　　· Windows 2000 ：点击下载
　　· Windows XP 32 位版本 ：点击下载

　　利用工具解决方案：　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　回顶部>>
　　一、 利用瑞星专杀工具清除病毒：
　　瑞星专杀工具:点击下载

　　二、 使用瑞星杀毒软件清除病毒：
　　瑞星的用户可以直接到瑞星的网站上下载升级补丁包或者使用智能升级功能，将瑞星杀毒软件升级到15.48.01版本以上，然后打开所有的监控，并进行该病毒的清除。

　　三、 使用瑞星防火墙禁止病毒端口：
　　第一步：双击瑞星个人防火墙图标，调出瑞星个人防火墙界面：

　　

　　第二步：选择"设置/设置规则"，调出设置界面：

　　

　　第三步：填写TCP过滤规则，目的是过滤病毒使用的135和4444端口。选择"规则/添加规则"调出规则添加表，按照下图所示填写规则，其它的选项选择默认,然后点击"添加"按钮就添加了一个规则，就可以对该病毒进行过滤了。

　　

　　第四步：填写UDP过滤规则，目的是过滤病毒使用的69端口。选择"规则/添加规则"调出规则添加表，按照下图所示填写规则，其它的选项选择默认，然后点击"添加"按钮就添加了一个规则，就可以对该病毒进行过滤了。

　　

　　冲击波（Worm.Blaster）病毒预防　　　　　　　　　　　　　　　　　　　　　　　　回顶部>>
　　为了防止用户中该病毒,　用户应该按照以下方法进行预防：

　　一、 给系统打上RPC漏洞补丁。
　　用户可以先进入微软网站，下载相应的系统补丁，给系统打上补丁，以下是补丁的具体下载地址：
　　· Windows 2000 ：点击下载
　　· Windows XP 32 位版本 ：点击下载

　　二、下载瑞星专杀工具
　　打完补丁后，用户最好下载一个瑞星专杀工具：扫描一下系统，看是否存在有该病毒。如果是瑞星的用户，在打完补丁后可直接到瑞星网站将瑞星杀毒软件升级到最新版，并打开实时监控，即可避免该病毒的攻击。
　　瑞星专杀工具:点击下载